وقوع رخدادهای متعدد نشت اطلاعات از پایگاه‌های داده‌ی شرکت‌ها و سازمان‌های دولتی و خصوصی در فضای مجازی ‌عمدتا متاثر از فهرست مشترکی از خطاها و ضعف‌های امنیتی در پیاده‌سازی و تنظیمات است. این ضعف‌ها باعث می‌شوند در برخی موارد دسترسی به داده‌های سازمان‌ها و کسب و کارها حتی نیاز به دانش عمیق هک و نفوذ نداشته باشد و با یکسری بررسی‌ها و جستجوهای ساده داده‌ها افشا می‌شوند. لذا به‌‌منظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها اکیدا توصیه می‌گردد اقدامات زیر صورت پذیرد:

• عدم اتصال مستقیم پایگاه‌های داده به صورت مستقیم به شبکه اینترنت. تا حد امکان لازم است دسترسی مستقیم به پایگاه‌های داده از طریق اینترنت برقرار نگردد. یکی از مواردی که باعث این اشتباه بزرگ می‌شود روال پشتیبانی شرکت‌های ارائه دهنده راهکارهای نرم‌افزاری کاربردی است که برای انجام پشتیبانی 24*7، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانک‌های اطلاعاتی می‌کنند. در صورت اجبار شرکت‌ها و سازمان‌ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود.
• دقت در راه‌اندازی پایگاه‌های داده‌ به ویژه انواع پایگاه‌های داده‌ی NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده. لازم به توجه است بسیاری از موارد نشت اطلاعات مربوط به پایگاه‌های داده‌ای است که به طور موقت و جهت انجام فعالیت‌های موردی و کوتاه مدت راه‌اندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاه‌های داده هم‌تراز پایگاه‌های اصلی درنظر گرفته شود.
• بررسی و غیرفعال‌سازی قابلیت Directory Listing غیر ضروری در سرویس‌ دهنده‌های وب جهت جلوگیری از دسترسی به فایل‌ها.
• دقت در وضعیت دسترسی به دایرکتوری‌های محل بارگزاری داده‌ها و اسناد توسط کاربران وبسایت نظیر دایرکتوری‌های uploads و temp و ... .علاوه بر لزوم کنترل دسترسی‌ها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج گردند.
• سرویس دهنده‌ها‌ی رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra با توجه به انتشار عمومی آسیب‌پذیری‌های حیاتی و اکسپلویت‌های مربوطه طی سال‌های اخیر مورد سواستفاده جدی قرار گرفته‌‌اند. در صورت استفاده از این سرویس‌دهنده‌ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله‌های امنیتی منتشر شده اطمینان حاصل گردد.
• از عدم دسترسی مستقیم از طریق اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLo، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال و ... اطمینان حاصل نمایید. این دسترسی‌ها لازم است از طریق سرویس VPN اختصاصی و یا بر اساس آدرس IP مبدا مجاز محدود گردند.
• از نگهداری هرگونه نسخه پشتیبان از سیستم‌ها بر روی سرور وب خودداری نمایید.
• جهت اطمینان از عدم وجود دسترسی به سرویس‌ها و سامانه‌ها به صورت ناخواسته، نسبت به اسکن ساده‌ی سرویس‌های فعال بر روی بلوک‌های IP سازمان خود به صورت مداوم اقدام نموده و سرویس‌های مشاهده شده‌ی غیرضروری را از دسترسی خارج نمایید.

لازم به ذکر است این موارد به هیچ عنوان جایگزین فرایندهای کامل امن‌سازی و ارزیابی امنیتی نبوده و صرفا برطرف کننده شماری از ضعف‌های جدی مشاهده شده می‌باشند.

‫آسیب‌پذیری با شناسه CVE-2021-44077 و شدت خطر بحرانی به مهاجم احراز هویت نشده راه دور امکان اجرای کد دلخواه را می‌دهد. آسیب پذیری مذکور از عملکرد ناسالم و ناشناخته فایل /RestAPI نشات گرفته که سه اصل محرمانگی، یکپارچگی و دسترس‌پذیری را تحت تاثیر خود قرار می‌دهد.

نسخه‌های آسیب پذیر
تمامی نسخه‌های قبل از 11306 مستعد این آسیب‌پذیری هستند.
راه‌حل
به مدیران و مسئولان مربوطه اکیدا توصیه می‌شود تا نسخه مورد استفاده خود را به آخرین نسخه به‌روز نمایند.
منبع:

https://pitstop.manageengine.com/portal/en/community/topic/security-advisory-for-cve-2021-44077-unauthenticated-rce-vulnerability-in-servicedesk-plus-versions-up-to-11305-22-11-2021

تعدادی وصله‌ی امنیتی غیررسمی به منظور محافظت از کاربران ویندوزی در برابر ‫آسیب‌پذیری روزصفر ارتقاء سطح دسترسی محلی (Local Privilege Escalation)‬ که به آن LPE نیز گفته می‌شود منتشر شده است. این آسیب‌پذیری در سرویس Mobile Device Management وجود دارد و سیستم‌های دارای سیستم‌عامل Windows 10 نسخه 1809 و بالاتر را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری امنیتی با شناسه CVE-2021-24084، زیرمجموعه تنظیمات "Access work or school" است و وصله‌ی امنیتی منتشر شده توسط مایکروسافت در ماه فوریه را که برای رفع این نقصِ افشای اطلاعات بود، دور می‌زند. یک محقق امنیتی به نام Abdelhamid Naceri (که آسیب‌پذیری اولیه را گزارش کرده بود)، در این ماه کشف کرد که این نقصِ ناقص‌وصله‌شده، می‌تواند برای به دست آوردن سطح دسترسی ادمین، پس از افشای عمومی این باگ مورد سوءاستفاده قرار گیرد.
Mitja Kolsek، یکی از بنیانگذاران 0patch توضیح داد:"آنچه از HiveNightmare/SeriousSAM به دست می‌آید این است که اگر بدانید کدام فایل‌ها را باید بردارید و با آن‌ها چکار کنید، آن‌گاه می‌توان یک افشای فایل دلخواه را به افزایش سطح دسترسی محلی ارتقاء داد." در حالی که مایکروسافت به احتمال زیاد متوجه افشای Naceri در ماه ژوئن شده است، این شرکت هنوز باگ LPE را اصلاح نکرده و سیستم‌های ویندوز 10 با آخرین به‌روزرسانی‌های امنیتی نوامبر 2021 را در معرض حملات قرار می‌دهد.
خوشبختانه مهاجمان تنها در صورتی می‌توانند از این نقص بهره‌برداری کنند که دو شرط زیر برآورده شود:

• System protection باید در درایو C فعال باشد و حداقل یک نقطه بازیابی ایجاد شود، اینکه System protection به طور پیش‌فرض فعال است یا خیر، به پارامترهای مختلفی بستگی دارد.
• حداقل یک حساب کاربری administrator محلی باید در سیستم فعال باشد، یا حداقل اطلاعات یک حساب کاربری عضو گروه "Administrator" باید در حافظه نهان ذخیره شده باشد.

تا زمانی که مایکروسافت به‌روزرسانی‌های امنیتی را برای رفع این نقص منتشر کند (احتمالاً در Patch Tuesday ماه آینده)، سرویس 0patch micropatch، وصله‌های رایگان و غیررسمی را برای همه نسخه‌های Windows 10 آسیب‌پذیر منتشر کرده است (Windows 10 21H2 نیز تحت تأثیر قرار گرفته است اما هنوز توسط 0patch پشتیبانی نمی‌شود). نسخه‌های تحت تأثیر این آسیب‌پذیری عبارتند از:

• Windows 10 v21H1 (32 & 64 bit) updated with November 2021 Updates
• Windows 10 v20H2 (32 & 64 bit) updated with November 2021 Updates
• Windows 10 v2004 (32 & 64 bit) updated with November 2021 Updates
• Windows 10 v1909 (32 & 64 bit) updated with November 2021 Updates
• Windows 10 v1903 (32 & 64 bit) updated with November 2021 Updates
• Windows 10 v1809 (32 & 64 bit) updated with May 2021 Updates

Kolsek افزود: "ویندوز سرورها تحت تأثیر این آسیب‌پذیری قرار ندارند، چرا که عملکرد آسیب‌پذیر در آن‌ها وجود ندارد. این در حالی است که برخی از ابزارهای similar diagnostics بر روی سرورها وجود دارند، اما از آنجا که تحت هویت کاربر اجرا می‌شوند نمی‌توانند مورد بهره‌برداری قرار بگیرند." همچنین Windows 10 v1803 و نسخه‌های قدیمی‌تر ویندوز به نظر نمی‌رسد که تحت تأثیر قرار گرفته باشند و در حالی که عملکرد 'Access work or school' را دارند، چون رفتار متفاوتی نشان می‌دهند، بنابراین نمی‌توانند مورد بهره‌برداری قرار گیرند. Windows 7 نیز اصلاً 'Access work or school' را ندارد. 0patch تا زمانی که مایکروسافت یک وصله‌ رسمی برای این نقص منتشر کند، میکروپچ‌های رایگان برای این آسیب‌پذیری ارائه می‌دهد. کاربرانی که می‌خواهند میکروپچ‌ها را نصب کنند، می‌توانند یک حساب کاربری رایگان در 0patch Central ایجاد کنند، سپس 0patch Agent را از 0patch.com نصب کنند. این شرکت اشاره کرد که نیازی به راه‌اندازی مجدد کامپیوتر نخواهد بود.

https://www.bleepingcomputer.com/news/security/new-windows-10-zero-day-gives-admin-rights-gets-unofficial-patch/
https://securityaffairs.co/wordpress/125061/security/unofficial-patches-cve-2021-24084-zeroday.html?utm_source=rss&utm_medium=rss&utm_campaign=unofficial-patches-cve-2021-24084-zeroday

آسیب‌پذیری در QNAP با شناسه CVE-2021-38685 و شدت خطر CVSS 9.8 به مهاجم راه دور امکان اجرای فرمان بر روی دستگاه‌های آسیب‌پذیر را می‌دهد. علاوه بر این آسیب پذیری دیگر CVE-2021-38686 با شدت خطر 8.8 شناسایی شده است که از ضعف در مکانیزم احراز هویت سرویس‌دهنده نشأت می‌گیرد.

نسخه‌های آسیب پذیر
تمامی نسخه‌های قبل از نسخه QVR 5.1.6 و build 20211109 آسیب‌پذیر می باشند.

راه‌حل
به مدیران و مسئولان مرتبط اکیدا توصیه می‌شود تا در اسراع وقت نسخه نرم‌افزار خود را به آخرین نسخه به روز نمایند.

منبع:

https://california18.com/qnap-two-closed-security-holes-in-qnap-vs-series-nvr/1736012021

هکرها با بهره‌برداری از آسیب‌پذیری‌های ProxyShell و ProxyLogon، سرورهای Microsoft Exchange را مورد حمله قرار داده‌اند. هکرها با ارسال ایمیل‌هایی با پیوست‌های بدافزار یا لینک‌های حاوی پیام‌های مخرب، زنجیره آلوده‌سازی را وسیع‌تر می‌کنند. عوامل تهدید از تعدادی تکنیک که جهت گمراه‌سازی کاربران برای باز کردن ایمیل و پیوست مخرب است، استفاده می‌کنند. این روش‌ها می‌تواند جعل یک فرستنده قانونی، یا یک ایمیل ساختگی که به نظر می‌رسد از یک شرکت معتبر ارسال شده است، باشد. محققان TrendMicro یک نقص در سرورهای مایکروسافت Exchange کشف کرده‌اند که برای توزیع ایمیل‌های مخرب بین کاربران داخلی یک شرکت استفاده می‌شود. اعتقاد بر این است که هکرهای پشت این حمله از گروه معروف TA هستند که ایمیل‌هایی را با پیوست‌های مخرب توزیع می‌کند. این گروه در گذشته با استفاده از فرمت‌های فایل زیر در ایمیل‌های خود کمپین‌های متعدد توزیع بدافزار داشته‌اند:

• Microsoft Office Files (.doc, .xls, .ppt)
• Rich Text Format (.rtf)
• Portable Document Format (.pdf)
• Single File Web Page (.mht)
• Compiled HTML (.chm)
• Compiled Help File (.chm or .hlp)
• Shell Executable files (.exe, .com, or .bat)

در این حملات آسیب پذیری‌هایی که مورد سوء استفاده قرار می‌گیرند عبارتند از:

• CVE-2021-34473: The pre-auth path confusion
• CVE-2021-34523: Exchange PowerShell backend elevation-of- privilege
• CVE-2021-26855: The pre-authentication proxy vulnerability

توصیه شرکت مایکروسافت به کاربران خود این بوده است که سرورهای Exchange خود را همیشه به روزرسانی کنید.

منابع:

https://gbhackers.com/hackers-target-microsoft-exchange-servers/
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-in-internal-reply-chain-attacks/

گزارشی از 300 مورد خدمت ارائه شده توسط مرکز ماهر در آبان ماه سال 1400 در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.

• وصله آسیب‌پذیری با شدت بالا 8.8 و شناسه CVE-2021-34991 در تجهیزات SOHO شرکت تجهیزات شبکه Netgear. این آسیب‌پذیری به مهاجم حاضر در شبکه مجاور (LAN) امکان اجرای کد با دسترسی روت را بر روی تجهیزات آسیب‌پذیر فراهم می‌کند.
• وصله چندی آسیب‌پذیری (6 آسیبپذیری روزصفرم، 6 آسیب‌پذیری بحرانی و 49 آسیب‌پذیری مهم) در محصولات مایکروسافت در ماه نوامبر 2021. مهمترین آن‌ها آسیب‌پذیری اجرای کد از راه دور در سرورهای Microsoft با شناسه CVE-2021-42321 و آسیب‌پذیری دور زدن سازوکارهای امنیتی در Microsoft Excel با شناسه CVE-2021-42292
• وصله ‫آسیب‌پذیری در GitLab Community Edition (CE) و Enterprise Edition (EE) شرکتGitLab با شناسهCVE-2021-22205 (شدت خطر10 ) که به مهاجم راه دور امکان اجرای کد دلخواه را می‌دهد
• وصله آسیب‌پذیری‌ها در محصولاتCisco Adaptive Security Appliance (ASA)، Cisco Firepower Threat Defense (FTD) و (Cisco Firepower Management Center (FMC از شرکت سیسکو که بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها منجر به حملات منع سرویس و حملات Authenticated Directory Traversal در دستگاه‌های آسیب‌پذیر خواهد شد.

شرکت تجهیزات شبکه Netgear در به‌روزرسانی اخیر یک ‫آسیب‌پذیری شدت بالا را در تجهیزات SOHO خود وصله نمود. این آسیب‌پذیری در برخی تجهیزات Netgear با شدت 8.8 و شناسه CVE-2021-34991 وجود دارد که به مهاجم حاضر در شبکه مجاور (LAN) امکان اجرای کد با دسترسی روت را بر روی تجهیزات آسیب‌پذیر فراهم می‌کند.
تجهیزات آسیب‌پذیر در زیر آورده شده است:

به کاربران توصیه می‌شود در اسرع وقت نسبت به نصب جدیدترین نسخه ثابت‌افزار (Firmware) تجهیز خود اقدام نمایند. هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است.
جهت مشاهده نسخه ثابت‌افزاری که آسیب‌پذیری در آنها برطرف شده است به پیوند زیر مراجعه نمایید:

https://kb.netgear.com/000064361/Security-Advisory-for-Pre-Authentication-Buffer-Overflow-on-Multiple-Products-PSV-2021-0168

مایکروسافت در اصلاحیه امنیتی مایکروسافت ماه نوامبر 2021 مجموعاً 55 آسیب‌پذیری را در محصولات خود وصله کرده است که در این بین 6 آسیب‌پذیری روزصفرم، 6 آسیب‌پذیری بحرانی و 49 آسیب‌پذیری مهم وجود دارد. به کاربران توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام کنند. امکان دریافت به‌روزرسانی برای کاربران ویندوز با استفاده از بخش windows updateدر مسیر زیر فراهم است:

Start > Settings > Update & Security > Windows Update

جزییات آسیب‌پذیری‌ها

از بین 6 آسیب‌پذیری روزصفرم، بهره‌برداری فعال از دو مورد از آنها مشاهده شده است:

• CVE-2021-42321: آسیب‌پذیری اجرای کد از راه دور در سرورهای Microsoft Exchange. این آسیب‌پذیری Microsoft Exchange Server 2019و 2016 را تحت تاثیر قرار می‌دهد. اکیداً توصیه می‌شود به نصب وصله امنیتی ارائه شده توسط ماکروسافت اقدام نمایید:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42321

• CVE-2021-42292: آسیب‌پذیری دور زدن سازوکارهای امنیتی در Microsoft Excel

همچنین محصولاتی که آسیب‌پذیری بحرانی آنها در این اصلاحیه وصله شده است، عبارتند از:

• Microsoft Dynamics
• Visual Studio
• Windows Defender
• Windows RDP
• Windows Scripting
• Windows Virtual Machine Bus

جهت اطلاع از سایر محصولات آسیب‌پذیر و جزییات فنی این آسیب‌پذیری‌ها به پیوند زیر مراجعه نمایید:

https://msrc.microsoft.com/update-guide/

منابع:

https://msrc.microsoft.com/update-guide/
https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2021-patch-tuesday-fixes-6-zero-days-55-flaws/

آسیب‌پذیری در GitLab با شماره CVE-2021-22205 و با شدت خطر CVSS 10 اندازه‌گیری شده است. و به مهاجم راه دور امکان اجرای کد دلخواه را می‌دهد. این آسیب‌پذیری از عدم اعتبار سنجی صحیح هنگام ارسال فایل‌های تصویری توسط کاربر، نشات می گیرد و مهاجم می‌تواند کد مخرب خود را در قالب یک فایل عکس بر روی این سرویس‌دهنده بارگذاری نماید. تمامی نسخه‌های قبل از 13.8.8, 13.9.6, 13.10.3 برای هردو نسخه GitLab Community Edition (CE) و Enterprise Edition (EE) آسیب‌پذیر می‌باشند.

به مدیران و مسئولان مربوطه اکیدا توصیه می‌شود تا نسخه مورد استفاده خود را به آخرین نسخه به‌روز نمایند.
منبع:

https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/