گزارشی از 304 مورد خدمت ارائه شده توسط مرکز ماهر در مرداد ماه سال 1400 در گرافهای زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخشهای دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.
شرکت Adobe در تاریخ 26 مرداد ماه بهروزرسانیهایی را به منظور وصله چندین آسیبپذیری در محصولات خود منتشر کرده است. لذا توصیه میشود در اسرع وقت نسبت به بهروزرسانی محصولات آسیبپذیر اقدام شود.
محصولات تحت تاثیر این آسیبپذیریها به شرح زیر هستند:
جزییات آسیبپذیریها
دو آسیبپذیری اجرای کد از راه دور (CVE-2021-36052 و CVE-2021-36064) با شدت بالای 8.8 و 8.4 در نسخههای 2020.1 و پیش از آن از محصول Adobe XMP-Toolkit-SDK وجود دارد که بهرهبرداری موفقیتآمیز از آن به مهاجم امکان اجرای کد از راه دور را خواهد داد. هیچگونه روشی جهت کاهش مخاطرات این آسیبپذیریها منتشر نشده است؛ بنابراین بهروزرسانی این محصول به نسخه2021.07 توصیه میگردد. جهت بهروزرسانی و اطلاعات بیشتر در مورد آسیبپذیریهای مذکور به لینک زیر مراجعه کنید:
https://helpx.adobe.com/security/products/xmpcore/apsb21-65.html
همچنین آسیبپذیری CVE-2021-36078 با شدت 8.8 از 10 نسخههای 11.1 به قبل از محصول Adobe Bridge را تحت تاثیر خود قرار داده و بهرهبرداری موفقیتآمیز از آن به مهاجم امکان اجرای کد از راه دور را خواهد داد. هیچگونه روشی جهت کاهش مخاطرات این آسیبپذیری منتشر نشده است. اعمال وصلههای منتشر شده (بهروزرسانی به نسخه 11.1.1 و 10.1.3) این آسیبپذیری را رفع میکند. اطلاعات بیشتر از آسیبپذیری فوق در لینک زیر موجود است:
https://helpx.adobe.com/security/products/bridge/apsb21-69.html
سایر آسیبپذیریهای موجود در دیگر محصولات با شدت متوسط و پایین در این بهروزرسانی وصله شدهاند. برای کسب اطلاعات بیشتر در مورد این آسیبپذیریها به پیوند زیر مراجعه کنید:
https://helpx.adobe.com/security.html
منابع:
https://helpx.adobe.com/security.html
https://helpx.adobe.com/security/products/bridge/apsb21-69.html
https://helpx.adobe.com/security/products/xmpcore/apsb21-65.html
شرکت سیسکو در بهروزرسانی اخیر خود در تاریخ 27 مرداد ماه، بهروزرسانیهایی را به منظور وصله چندین آسیبپذیری موجود در محصولات خود منتشر کرد؛ یک مورد از این آسیبپذیریها دارای شدت بحرانی و سایر آنها شدت متوسطی دارند. آسیبپذیری بحرانی (CVE-2021-34730) دارای شدت 9.8 از 10 بوده و به مهاجم امکان میدهد با بهرهبرداری موفق از آن منجر به اجرای کد دلخواه، راهاندازی مجدد دستگاه آلوده یا شرایط منع سرویس شود. مهاجم میتواند با ارسال درخواستهای مخرب به دستگاه آسیبپذیر از این آسیبپذیری بهرهبرداری کند. این آسیبپذیری روترهای سری Cisco Small Business RV زیر را در صورتی که دارای پیکربندی UPnP باشند، تحت تاثیر خود قرار میدهد:
لازم به ذکر است سرویس UPnP بهطور پیشفرض در رابطهای LAN فعال و در رابطهای WAN غیرفعال است. در صورتی که این سرویس در هر دو رابط فعال باشد، دستگاه آسیبپذیر نیست. جهت اطلاع از فعال بودن این سرویس رابط مدیریتی تحت وب را باز کرده و مسیر زیر را انتخاب نمایید:
Settings > UPnP
در حال حاضر هیچگونه بهروزرسانی جهت وصله این آسیبپذیری منتشر نشده است. جهت کاهش مخاطرات این آسیبپذیری توصیه میشود سرویس UPnP در رابط LAN دستگاه از طریق مسیر بالا غیرفعال گردد.
جهت مشاهده اطلاعات بیشتر در مورد این آسیبپذیری به لینک زیر مراجعه کنید:
منابع:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-sb-rv-overflow-htpymMB5
https://securityaffairs.co/wordpress/121277/hacking/cisco-cve-2021-34730-remains-unpatched.html
شرکت SAP در تاریخ 20 مرداد ماه، بهروزرسانیهایی به منظور وصله آسیبپذیریهای موجود در محصولات خود منتشر کرد؛ توصیه میشود هرچه سریعتر نسبت به بهروزرسانی سیستمهای آسیبپذیر اقدام شود. در صورتی که امکان اعمال وصلهها وجود ندارد، توصیه میشود بهطور موقت بخش (عملکرد) آسیبپذیر نسبت به هر آسیبپذیری غیرفعال گردد.
محصولات تحت تاثیر این آسیبپذیریها شامل موارد زیر هستند:
آسیبپذیریهای مذکور شامل 3 آسیبپذیری بحرانی، 5 مورد شدت بالا و 7 مورد شدت متوسط است.
یکی از مهمترین آسیبپذیریهای وصله شده، آسیبپذیری CVE-2021-33698 (بارگذاری فایل بدون محدودیت) است که مهاجم با بهرهبرداری از آن قادر است فایلهای اسکریپت مخرب را روی سرور بارگذاری کرده و کد دلخواه خود را اجرا نماید. همچنین مهاجم با بهرهبرداری از آسیبپذیری CVE-2021-33690 (توسط ارسال درخواستهای مخرب)، میتواند دسترسپذیری دادههای حساس موجود در سرور را به خطر بیاندازد.
جهت مشاهده اطلاعات بیشتر در مورد این آسیبپذیریها و نحوه اعمال بهروزرسانی، به لینک زیر مراجعه کنید:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806
در جدول زیر اطلاعات مختصری از آسیبپذیریهای شدت بحرانی و بالای مورد بحث آورده شده است.
منابع:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806
https://www.securityweek.com/nine-critical-and-high-severity-vulnerabilities-patched-sap-products
https://threatpost.com/sap-patches-critical-bugs/168558/
شرکت Adobe اخیراً چند آسیبپذیری بحرانی را در محصولات پرکاربرد Adobe Connect و Magento وصله کرده است. توصیه میشود در اسرع وقت نسبت به بهروزرسانی محصولات آسیبپذیر اقدام کنید.
در جدول زیر آسیبپذیریهای مهم این بهروزرسانی بهطور خلاصه آورده شده است:
جهت کسب اطلاعات بیشتر در مورد سایر آسیبپذیریهای موجود در این دو محصول که در این بهروزرسانی وصله شدهاند به دو پیوند زیر مراجعه کنید:
https://helpx.adobe.com/security/products/magento/apsb21-64.html
https://helpx.adobe.com/security/products/connect/apsb21-66.html
شرکت مایکروسافت در تاریخ 19 مردادماه اصلاحیه امنیتی آگوست را به منظور وصله 44 مورد #آسیبپذیری در محصولات خود منتشر کرد؛ توصیه میشود هرچه سریعتر نسبت به بهروزرسانی محصولات آسیبپذیر اقدام شود. امکان دریافت بهروزرسانی برای کاربران ویندوز با استفاده از بخش windows update در مسیر زیر فراهم است:
Start > Settings > Update & Security > Windows Update
برخی از محصولات تحت تاثیر این آسیبپذیریها شامل موارد زیر هستند:
آسیبپذیریهای مذکور شامل 7 آسیبپذیری بحرانی و 37 مورد آسیبپذیری مهم هستند. بهرهبرداری از 13 مورد از این آسیبپذیریها منجر به اجرای کد از راه دور، هشت مورد از آنها منجر به افشای اطلاعات، دو مورد منجر به حملات منع سرویس و چهار مورد منجر به حملات Spoofing خواهد شد. در بین وصلههای ارائه شده، 3 مورد آسیبپذیری روزصفرم نیز وصله شده است:
در بین موارد فوق تنها آسیبپذیری CVE-2021-36948 مورد بهرهبرداری قرار گرفته است. همچنین آسیبپذیری CVE-2021-36958 با شدت 7.3 یکی دیگر از آسیبپذیریهای مربوط به سرویس Print Spooler ویندوز است که در بهروزرسانیهای آینده مایکروسافت رفع خواهد شد. مهاجم با بهرهبرداری از این آسیبپذیری قادر به نصب برنامهها، مشاهده دادهها یا تغییر و حذف آنها، ایجاد حسابهای کاربری با امتیازات بالا و اجرای کد دلخواه با امتیازات SYSTEM خواهد بود. جهت جلوگیری از بهرهبرداری احتمالی، به کاربران توصیه میشود سرویس Print Spooler خود را متوقف یا غیرفعال نمایند. همچنین جهت جلوگیری از اتصال به یک چاپگر مخرب، ترافیک SMB خروجی را مسدود کنند.
برخی آسیبپذیریهای مهمتر وصله شده در این بهروزرسانیها در جدول زیر آورده شده است:
جهت اطلاع از سایر محصولات آسیبپذیر و جزییات فنی این آسیبپذیریها به پیوند زیر مراجعه نمایید:
https://msrc.microsoft.com/update-guide/releaseNote/2021-Aug
لازم به ذکر است که در این بهروزرسانی، وصلههای مربوط به آسیبپذیریهای ماه قبل مایکروسافت موسوم به PrintNightmare و PetitPotam نیز منتشر شده شده است.
مراجع
https://www.zdnet.com/article/microsofts-august-2021-patch-tuesday-45-flaws-fixed-seven-critical-including-print-spooler-vulnerability/
https://msrc.microsoft.com/update-guide/releaseNote/2021-Aug
https://www.bleepingcomputer.com/news/microsoft/microsoft-august-2021-patch-tuesday-fixes-3-zero-days-44-flaws/
https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/08/printnightmare-and-rdp-rce-among-major-issues-tackled-by-patch-tuesday/
https://thehackernews.com/2021/08/microsoft-security-bulletin-warns-of.html
زنجیرهای از آسیبپذیریهای بحرانی با شناسههای CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 در محصولات مایکروسافت وجود دارد که بهره برداری موفق از آنها به اجرای کامل حمله ProxyShell Attack میانجامد. سوءاستفاده از آسیبپذیری ها از راه دور و از طریق سرویس Microsoft client access service که بر روی پورت پیش فرض 443 در IIS وجود دارد، صورت میگیرد. بهرهبرداری موفق از این سه آسیبپذیری به مهاجم این امکان را میدهد تا در سیستم قربانی کد دلخواه خود را اجرا نماید.
مطابق با بررسیهای صورت گرفته و اطلاعات موجود به مدیران مربوطه توصیه میشود دو رشته " /mapi/nspi/ " و " /autodiscover/autodiscover.json " در فایلهای Log سرویس دهنده IIS بررسی شود. اگر هرکدام از رشتهها در خروجی رویت شد، این به این معنا است که سیستم هدف مورد بررسی آسیبپذیری قرار گرفته است و زنگ خطری است برای مدیر مربوطه.
نسخههای آسیبپذیر
به مدیران و مسئولان مربوطه اکیدا توصیه میشود تا نرم افزار مورد استفاده خود را با وصلههای امنیتی منتشر شده برای این سه آسیبپذیری وصله نمایند.
منبع:
شرکت سیسکو اخیراً به منظور وصله چندین آسیبپذیری در محصولات خود بهروزرسانیهایی را منتشر نموده است؛ در این بین یک مجموعه از محصولات سیسکو دارای دو آسیبپذیری با شدت بحرانی 9.8 از 10 و سایر موارد دارای شدت بالا یا متوسط هستند. بهرهبرداری موفقیتآمیز از این آسیبپذیریها منجر به اجرای کد دلخواه از راه دور بر روی دستگاههای آسیبپذیر، افشای اطلاعات حافظه و یا reload شدن ناگهانی روتر خواهد شد. در جدول زیر اطلاعات مختصری از آسیبپذیریهای مهم این بهروزرسانی آورده شده است.
با توجه به اینکه به جز آسیبپذیری مربوط به ConfD، هیچگونه روش موقتی جهت کاهش مخاطرات آسیبپذیریهای مذکور منتشر نشده است توصیه میشود در اسرع وقت نسبت به بهروزرسانی سیستمهای آسیبپذیر اقدام کنید.
جهت مشاهدهی فهرستی از آسیبپذیریهای اخیر محصولات سیسکو به پیوند زیر مراجعه کنید:
https://tools.cisco.com/security/center/publicationListing.x
جزییات فنی و Advisory مربوط به هر آسیبپذیری:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv340-cmdinj-rcedos-pY8J3qfy
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-code-execution-9UVJr7k4
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-packettracer-dll-inj-Qv8Mk5Jx
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-multi-lldp-u7e4chCe
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nso-priv-esc-XXqRtTfT
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-confd-priv-esc-LsGtCRx4
شرکت VMware در بهروزرسانی اخیر خود دو #آسیبپذیری را در محصولات خود وصله کرده است. توصیه میشود در اسرع وقت نسبت به بهروزرسانی محصولات آسیبپذیر اقدام کنید.
آسیبپذیری با شناسه CVE-2021-22002 و شدت بالای 8.6 از 10 ناشی از عدم ارزیابی کافی ورودی کاربر در محصولات آسیبپذیر بوده و به مهاجم امکان اجرای حملات SSRF از راه دور را میدهد. آسیبپذیر دیگر با شناسه CVE-2021-22003 شدت پایینی دارد (3.7 از 10). محصولات زیر تحت تاثیر میباشند:
با توجه به شدت بالای آسیبپذیری CVE-2021-22002 در صورتی که امکان بهروزرسانی محصولات آسیبپذیر به آخرین نسخه وجود ندارد، توصیه میشود راهکارهای موقت موجود در پیوند زیر را اعمال کنید:
https://kb.vmware.com/s/article/85255
جهت اطلاع از جزییات این آسیبپذیریها به پیوند زیر مراجعه کنید:
https://www.vmware.com/security/advisories/VMSA-2021-0016.html
اخیراً فهرست آسیبپذیریهایی که در سال 2020 مرتباً تحت بهرهبرداری فعال قرار داشتند و همچنین آسیبپذیریهایی که از آغاز سال 2021 تا کنون بهرهبرداری فعال از آنها مشاهده شده است توسط مرکز CISA منتشر شده است. سیستمهای آسیبپذیر در سازمانها میتوانند با اعمال وصلههای منتشر شده یا پیادهسازی یک سیستم مدیریت وصله، مخاطرات مربوط به این آسیبپذیریها را کاهش دهند. اکثر آسیبپذیریهای معرفی شده، با اعمال بهروزرسانیهای منتشر شده رفع خواهند شد. در صورتی که امکان اعمال کلیه وصلههای منتشر شده در سیستم آسیبپذیر وجود ندارد، توصیه میشود وصلهها ابتدا برای آسیبپذیریهایی که قبلاً مورد بهرهبرداری قرار گرفتهاند یا سیستمهای در معرض خطر بالقوه مانند سیستمهای قابل دسترس از طریق اینترنت، اعمال شوند.
جزییات آسیبپذیریها
فهرستی از آسیبپذیریهایی که در سال 2020 بیشترین بهرهبرداری فعال از آنها مشاهده شده است، در زیر آورده شدهاند. در بین این موارد، بیشترین آسیبپذیری استفاده شده در حملات، آسیبپذیری CVE-2019-19781 بود:
پروتکل Netlogon مایکروسافت
آسیبپذیری ارتقاء سطح دسترسی با شناسه CVE-2020-1472 و شدت بحرانی 10.0
اطلاعات بیشتر: https://cert.ir/news/13110
محصول F5- Big IP
آسیبپذیری اجرای کد از راه دور با شناسه CVE-2020-5902 و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/13081
سیستم مدیریت محتوای Drupal
آسیبپذیری اجرای کد از راه دور با شناسه CVE-2018-7600 و شدت بحرانی 9.8
اطلاعات بیشتر: https://www.drupal.org/sa-core-2018-002
محصول Citrix Application Delivery Controller (ADC)
آسیبپذیری اجرای کد دلخواه با شناسه CVE-2019-19781 و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/12899
محصول Pulse Connect Secure (PCS)
آسیبپذیری خواندن فایل دلخواه با شناسه CVE-2019-11510 و شدت بحرانی 10.0
اطلاعات بیشتر: https://cert.ir/news/13093
محصول Fortinet FortiOS
آسیبپذیری پیمایش مسیر با شناسه CVE-2018-13379 و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/13197
محصول Microsoft SharePoint
آسیبپذیری اجرای کد از راه دور با شناسه CVE-2019-0604و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/12677
سیستمعامل ویندوز
آسیبپذیری ارتقاء سطح دسترسی با شناسه CVE-2020-0787 و شدت بالا 7.8
اطلاعات بیشتر: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-0787
علاوه بر وصلهی آسیبپذیریهای فوق، وصلهی آسیبپذیریهایی که در سال 2021 تحت بهرهبرداری قرار گرفتهاند نیز باید در دستور کار قرار گیرد. از این موارد میتوان به آسیبپذیری در محصولات زیر اشاره کرد:
طبق تحقیقات منتشر شده، سازمانهای دولتی و خصوصی در سراسر جهان بیشتر در معرض مخاطرات این آسیبپذیریها قرار دارند. یکی از موثرترین راهکارهای کاهش مخاطرات این آسیبپذیریها و جلوگیری از نفوذ گروههای تهدید مانند APTها، نصب و اعمال وصلههای امنیتی در سریعترین زمان ممکن و یا بکارگیری راهکارهای موقت ارائه شده است.