گزارشی از 555 مورد خدمت ارائه شده توسط مرکز ماهر در شهریور ماه سال 1400 در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.

شرکت NETGEAR به‌روزرسانی‌هایی را به منظور وصله ‫آسیب‌پذیری اجرای کد از راه دور موجود در محصولات خود منتشر کرد؛ لذا به کاربران توصیه می‌شود هرچه سریع‌تر به‌روزرسانی‌های منتشر شده را در سیستم‌عامل خود اعمال نمایند. این آسیب‌پذیری که با شناسه CVE-2021-40847 (شدت 8.1 از 10) شناخته می‌شود، سیستم‌عامل بسیاری از دستگاه‌های NETGEAR را تحت تاثیر خود قرار می‌دهد. نسخه‌های آسیب‌پذیر شامل موارد زیر هستند:

• R6400v2 1.0.4.106
• R6700 1.0.2.16
• R6700v3 1.0.4.106
• R6900 1.0.2.16
• R6900P 1.3.2.134
• R7000 1.0.11.123
• R7000P 1.3.2.134
• R7850 1.0.5.68
• R7900 1.0.4.38
• R8000 1.0.4.68
• RS400 1.5.0.68

مهاجم با توانایی انجام حمله MitM و بهره‌برداری از این آسیب‌پذیری قادر است کد دلخواه خود را با دسترسی root در سیستم‌عامل‌های آسیب‌پذیر اجرا نموده و کنترل کامل دستگاه را به دست آورد.
جهت کسب اطلاعات بیشتر در مورد آسیب‌پذیری مذکور و روش‌های کاهش مخاطرات آن به پیوند زیر مراجعه نمایید:

https://kb.netgear.com/000064039/Security-Advisory-for-Remote-Code-Execution-on-Some-Routers-PSV-2021-0204

وجود ‫آسیب‌پذیری با شناسه CVE-2021-22005 و شدت خطر CVSS 9.8 در سرویس دهنده vCenter ،که به نفوذگر احراز هویت نشده این امکان را می دهد که به واسطه دسترسی به پورت 443 این سرویس دهنده یک فایل خاص را بارگذاری نموده تا با استفاده از آن بتواند کد دلخواه خود را اجرا نماید.
تمامی نسخه های قبل از VCSA version 7.0U2c build 18356314 و VCSA version 6.7U3o build 18485166 که به تازگی انتشار یافته اند آسیب پذیر می باشند.
به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا سرویس دهنده مورد استفاده خود را به آخرین نسخه به روز رسانی نمایند. همچنین می توانند برای وصله نمودن این آسیب پذیری از اسکریپت قرار داده شده در لینک زیر استفاده نمایند.

https://kb.vmware.com/sfc/servlet.shepherd/version/download/0685G00000XYdkVQAT

مانند تصویر زیر پس از انتقال اسکریپت فوق به سرویس دهنده آسیب پذیر از طرق مختلف مانند استفاده از نرم افزار WinSCP، فایل را به دایرکتوری /var/tmp انتقال داده و با سطح دسترسی root آن را اجرا نمایید.

منبع:

https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-bug-in-default-vcenter-server-installs/

شرکت ‫مایکروسافت به‌روزرسانی‌هایی را به‌منظور وصله چندین مورد ‫آسیب‌پذیری امنیتی در ماه سپتامبر در محصولات خود منتشر کرده است؛ به کاربران توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام شود. امکان دریافت به‌روزرسانی برای کاربران ویندوز با استفاده از بخش windows update در مسیر زیر فراهم است:

Start > Settings > Update & Security > Windows Update

برخی از محصولات آسیب‌پذیر به شرح زیر هستند:

• Azure Open Management Infrastructure
• Azure Sphere
• Office Excel, PowerPoint, Word, and Access
• Kernel
• Visual Studio
• Microsoft Windows DNS
• BitLocker

جزییات آسیب‌پذیری‌ها
در بین به‌روزرسانی‌های ارائه شده، موارد زیر دارای اهمیت بیشتری هستند:

• آسیب‌پذیری CVE-2021-38647 با شدت بحرانی 9.8 از 10. این آسیب‌پذیری برنامه Open Management Infrastructure (OMI) را تحت تأثیر خود قرار داده و به مهاجم امکان می‌دهد بدون احراز هویت و تنها با ارسال پیام‌های HTTPS مخرب به پورت 5986 کد دلخواه خود را در سیستم آسیب‌پذیر اجرا نماید.
• آسیب‌پذیری CVE-2021-26435 با شدت 8.1 در Microsoft Windows scripting engine. بهره‌برداری از این آسیب‌پذیری نیازمند تعامل کاربری است.
• آسیب‌پذیری CVE-2021-36967 با شدت 8.0 در Windows WLAN AutoConfig service که می‌تواند جهت افزایش سطح دسترسی مورد استفاده قرار گیرد.

لازم به ذکر است آسیب‌پذیری CVE-2021-40444 (آسیب‌پذیری اجرای کد از راه دور موجود در مؤلفه MSHTML اینترنت اکسپلورر) نیز در این به‌روزرسانی‌ها رفع شده است.
جهت اطلاع از سایر محصولات آسیب‌پذیر و جزییات فنی این آسیب‌پذیری‌ها به پیوند زیر مراجعه نمایید:

https://msrc.microsoft.com/update-guide/releaseNote/2021-Sep

اخیراً طیف وسیعی از دوربین‌های Hikvision تحت تاثیر یک ‫آسیب‌پذیری امنیتی اجرای کد از راه دور قرار گرفته‌اند؛ مهاجم می‌تواند با بهره‌برداری از این آسیب‌پذیری و بدون انجام احراز هویت، دسترسی کامل به دستگاه‌های آسیب‌پذیر و شبکه داخلی داشته باشد. این آسیب‌پذیری zero-click با شناسه CVE-2021-36260 شناخته شده و دارای شدت بحرانی 9.8 از 10 است. ظاهراً سیستم‌عامل این دوربین‌ها از سال 2016 مستعد این نقض بوده است.
با توجه به استقرار این دوربین‌ها در مکان‌های حساس و زیرساخت‌های حیاتی، به کاربران توصیه می‌شود هرچه سریع‌تر به‌روزرسانی‌های منتشر شده را در سیستم‌عامل‌های آسیب‌پذیر اعمال نمایند.
جهت کسب اطلاعات بیشتر در مورد آسیب‌پذیری مذکور و روش‌های کاهش مخاطرات آن به پیوند زیر مراجعه نمایید:

https://www.hikvision.com/en/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/

بات نت جدید Meris متشکل از 250000 دستگاه آلوده به بدافزار، مسبب بزرگترین حملات DDOS اخیر در دنیا و از طریق روترهای میکروتیک بوده‌است. حملات هفته گذشته این بات نت، رکورد بزرگترین حملات حجمی DDOS را شکست. بنابر اطلاعیه شرکت میکروتیک این مساله با استفاده از آسیب پذیری روترهای قدیمی میکروتیک مربوط به سال 2018 بوده است.
از آنجایی‌که تعدادی از آدرس‌های IP مورد سو‌استفاده در این حمله متعلق به کشور ایران است، لذا کلیه کاربران تجهیزات میکروتیک جهت پیشگیری از وقوع حملات احتمالی این نوع بات نت در آینده، هر چه سریعتر نسبت به انجام دستورالعمل‌های ذیل اقدام نمایند:

• دستگاه میکروتیک خود را به‌طور منظم به‌روز کرده و به‌روز نگه دارید.
• دسترسی به دستگاه از طریق اینترنت را محدود نمایید، به‌طوری‌که امکان دسترسی به دستگاه بطور عمومی از طریق اینترنت وجود نداشته باشد؛ اگر نیاز به دسترسی از راه دور به دستگاه دارید فقط از طریق سرویس های VPN امن مانند IPsec این امکان را فراهم نمایید.
• از رمز عبور قوی استفاده کنید و آن را مرتباً تغییر دهید.
• تصور نکنید که شبکه محلی (local) یک شبکه امن است؛ چراکه اگر روتر شما توسط رمز عبور محافظت نشود و یا رمز عبور ضعیفی داشته باشد، بدافزار قادر است به شبکه محلی شما هم نفوذ کند.
• پیکربندی سسیتم‌عامل روتر (RouterOS) را برای یافتن تنظیمات ناشناخته بررسی کنید. تنظیماتی که در صورت وجود باید حذف شوند به شرح زیر هستند:

• System => Schedulerهایی که یک اسکریپت Fetch را اجرا می‌کنند، حذف کنید.
• IP => پروکسی‌های Socks. اگر از این قابلیت (پروکسی‌های Socks) استفاده نمی‌کنید یا از کارکرد آن اطلاع ندارید، باید آن را غیرفعال کنید.
• کلاینت L2TP با نام «lvpn» و یا هر کلاینت L2TP ی که نمی‌شناسید.
• قوانین فایروال که به پورت 5678 اجازه دسترسی می‌دهد.

بدافزاری وجود دارد که سعی می‌کند دستگاه میکروتیک را از طریق رایانه‌ی ویندوزی موجود در شبکه داخلی شما مجدداً پیکربندی کند؛ به همین دلیل بسیار مهم است که دستگاه‌های خود را با رمز عبور قوی محافظت کنید تا از حملات dictionary و نفوذ بدافزار جلوگیری شود. همچنین این بدافزار سعی می‌کند با بهره‌برداری از آسیب‌پذیری‌های موجود در نسخه‌های مختلف دستگاه به آن نفوذ کند (به‌عنوان‌مثال آسیب‌پذیری CVE-2018-14847 که مدت‌ها است وصله شده است)؛ به همین دلیل به‌روز نمودن دستگاه میکروتیک به آخرین نسخه و ارتقای نسخه‌ی آن به صورت منظم اکیداً توصیه می‌شود.
همچنین توصیه می‌شود با همکاری ISP خود آدرس‌های زیر که اسکریپت‌های مخرب به آنها متصل شده‌اند را مسدود کنید:

مسدودسازی دامنه‌های endpointهای تونل زیر:

• *.eeongous.com
• *.leappoach.info
• *.mythtime.xyz

مسدودسازی دامنه‌های زیر که اسکریپت‌ها را دانلود می‌کنند:

• 1abcnews.xyz
• 1awesome.net
• 7standby.com
• audiomain.website
• bestony.club
• ciskotik.com
• cloudsond.me
• dartspeak.xyz
• fanmusic.xyz
• gamedate.xyz
• globalmoby.xyz
• hitsmoby.com
• massgames.space
• mobstore.xyz
• motinkon.com
• my1story.xyz
• myfrance.xyz
• phonemus.net
• portgame.website
• senourth.com
• sitestory.xyz
• spacewb.tech
• specialword.xyz
• spgames.site
• strtbiz.site
• takebad1.com
• tryphptoday.com
• wchampmuse.pw
• weirdgames.info
• widechanges.best
• zancetom.com
• همچنین دامنه‌های زیر نیز توسط بات نت مورد بحث مورد استفاده بوده است:
• bestmade.xyz
• gamesone.xyz
• mobigifs.xyz
• myphotos.xyz
• onlinegt.xyz
• picsgifs.xyz

منبع: https://blog.mikrotik.com/security/meris-botnet.html

اخیراً شرکت گوگل به‌روزرسانی‌هایی را به منظور وصله 11 ‫آسیب‌پذیری موجود در مرورگر کروم منتشر کرده است. دو مورد از این آسیب‌پذیری‌ها (CVE-2021-30632 و CVE-2021-30633) روزصفرم بوده و تحت بهره‌برداری فعال قرار دارند. این آسیب‌پذیری‌ها موتور متن‌باز جاوااسکریپت V8 مرورگر کروم را تحت تاثیر خود قرار می‌دهند. جزئیات فنی بیشتری از آسیب‌پذیری‌های مذکور منتشر نشده است.
به کاربران توصیه می‌شود هرچه سریعتر مرورگر خود را به نسخه 93.0.4577.82 به‌روزرسانی نمایند. اعمال به‌روزرسانی‌ها از طریق مسیر ' Settings > Help > 'About Google Chrome و سپس انتخاب گزینه به‌روزرسانی انجام می‌پذیرد.
جهت کسب اطلاعات بیشتر در مورد این آسیب‌پذیری‌ها به لینک زیر مراجعه کنید:

https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop.html /

منابع:

https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop.html
https://thehackernews.com/2021/09/update-google-chrome-to-patch-2-new.html

نسخه 5.8.1 وردپرس حاوی وصله‌هایی به منظور به‌روزرسانی چندین #‫آسیب‌پذیری امنیتی در نسخه‌های 5.4 تا 5.8 وردپرس است. مهاجم می‌تواند از این آسیب‌پذیری‌ها جهت کنترل وب‌سایت آسیب‌دیده بهره‌برداری کند. به کاربران توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سایت‌های وردپرسی آسیب‌پذیر اقدام شود.
وردپرس 5.8.1 یک نسخه امنیتی موقت است و نسخه اصلی بعدی 5.9 خواهد بود. هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است. اعمال به‌روزرسانی‌ها به‌صورت زیر انجام می‌پذیرد:

• مراجعه به سایت WordPress.org و بارگیری فایل به‌روزرسانی
• استفاده از مسیر Dashboard → Updates در پیشخوان سایت وردپرسی و انتخاب گزینه Update Now

منابع:

https://us-cert.cisa.gov/ncas/current-activity/2021/09/10/wordpress-releases-security-update
https://wordpress.org/news/2021/09/wordpress-5-8-1-security-and-maintenance-release/
https://www.securityweek.com/wordpress-581-patches-several-vulnerabilities?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+securityweek+%28SecurityWeek+RSS+Feed%29

با توجه به موارد ارجاع شده به مرکز ماهر، اخیراً ارسال پیش فاکتورهای مشابه با پیش فاکتور اصلی با شماره حساب جعلی شریک خارجی، مشاهده شده است. این حملات عمدتا از طریق هک ایمیل طرف داخلی، خارجی و یا هردو اتفاق افتاده است و گاها سبب خسارت‌های میلیون دلاری به یکی از طرفین شده است. به این منظور، به شرکت‌های بازرگانی داخلی اکیدا توصیه می‌شود که قبل از واریز هر گونه مبلغ به حساب طرف خارجی، از صحت شماره حساب از مسیرهایی غیر از ایمیل (نظیر تلفن، واتس آپ و یا غیره) اطمینان حاصل نمایند.

اخیراً یک نقص امنیتی در مولفه MSHTML مربوط به اینترنت اکسپلورر (IE) در ویندوز 10 و بسیاری از نسخه‌های ویندوز سرور یافت شده است. این ‫آسیب‌پذیری روزصفرم با شناسه CVE-2021-40444 شناخته شده و دارای شدت 8.8 از 10 است. مهاجم با بهره‌برداری از این آسیب‌پذیری قادر است کد دلخواه خود را در سیستم آسیب‌پذیر اجرا نماید.
لازم به ذکر است این آسیب‌پذیری تحت بهره‌برداری فعال قرار داشته و در حملات هدفمند از آن استفاده می‌شود. کد اکسپلویت این آسیب‌پذیری در لینک زیر موجود است:

https://github.com/lockedbyte/CVE-2021-40444

این حملات با استفاده از کنترل‌های مخرب ActiveX موجود در فایل‌های آلوده مایکروسافت آفیس صورت می‌گیرد که این کنترل‌ها امکان اجرای کد دلخواه را فراهم می‌کنند. فایل‌های مذکور توسط پیوست‌های مخرب ایمیل ارسال می‌شوند و مهاجم باید قربانیان را به منظور باز کردن فایل‌های مخرب فریب دهد.
در صورت غیرفعال بودن گزینه Protected View یا مشاهده فایل آفیس از طریق گزینه پیش نمایش فایل در اینترنت اکسپلورر، آسیب‌پذیری CVE-2021-40444 قابل بهره‌برداری خواهد بود.
در حال حاضر هیچ‌گونه وصله‌ای برای این آسیب‌پذیری منتشر نشده اما کاربران می‌توانند با غیرفعال کردن نصب کلیه کنترل‌های ActiveX در اینترنت اکسپلورر و همچنین باز نمودن فایل‌های آفیس در حالت Protected View یا Application Guard for Office مخاطرات مربوط به آن را کاهش دهند. راه‌حل منتشر شده توسط مایکروسافت از پیش نمایش فایل‌ها در اینترنت اکسپلورر نیز جلوگیری می‌کند.
برای اطلاع از جزییات آسیب‌پذیری مذکور و روش‌های کاهش مخاطرات آن، به پیوند زیر مراجعه کنید:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

منابع:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
https://krebsonsecurity.com/2021/09/microsoft-attackers-exploiting-windows-zero-day-flaw/