Node.js یک محیط اجرای جاوا اسکریپت back-end است که در موتور V8 اجرا شده و منجر به اجرای کد جاوا اسکریپت در خارج از مرورگر خواهد شد. اخیراً Node.js یک به‌روزرسانی‌های امنیتی برای وصله #‫آسیب‌پذیری use-after-free شدت بالا با شناسه CVE-2021-22930 منتشر کرد. این آسیب‌پذیری بر نحوه مدیریت درخواست‌های HTTP2 تاثیر گذاشته و کلیه نسخه‌هایx.16،x.14 وx.12 از Node.js را تحت تاثیر خود قرار می‌دهد. با توجه به اهمیت این آسیب‌پذیری توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام شود. نسخه‌های 16.6.0، 12.22.4 (LTS) و 14.17.4 (LTS) نسخه‌های حاوی وصله هستند. این نسخه‌ها از لینک‌های زیر قابل دریافت هستند:

https://nodejs.org/en/blog/release/v12.22.4/
https://nodejs.org/en/blog/release/v14.17.4/
https://nodejs.org/en/blog/release/v16.6.0/

بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به اختلال در فرآیندها، ایجاد رفتارهای غیرمنتظره شامل خرابی برنامه و اجرای کد از راه دور شود.
در حال حاضر هیچ‌گونه روشی جهت کاهش مخاطرات این آسیب‌پذیری منتشر نشده است.
لازم به ذکر است Red Hat شدت این آسیب‌پذیری را 9.1 تعیین کرده است. جهت دریافت اطلاعات بیشتر در مورد این آسیب‌پذیری به لینک زیر مراجعه کنید:

https://access.redhat.com/security/cve/CVE-2021-22930#cve-faq

منابع:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22930
https://www.ehackingnews.com/2021/08/nodejs-pushes-out-immediate-fixes-for.html
https://nodejs.org/en/blog/vulnerability/july-2021-security-releases-2/
https://access.redhat.com/security/cve/CVE-2021-22930#cve-faq

وجود آسیب پذیری از نوع RCE با شناسه CVE-2021-36394 و شدت خطر بحرانی در پلت فرم آموزشی Moodle.

در صورت بهره برداری موفق از این #‫آسیب‌پذیری، نفوذگر این امکان را دارد تا به اطلاعات دانشجویان مانند: اطلاعات کاربری، نتایج آزمون و غیره دسترسی داشته و حتی آنها را تغییر دهد. این آسیب پذیری از یک ماژول مکانیزم احراز هویت با نام shibboleth نشات می گیرد که به صورت پیش فرض غیر فعال است.
نسخه‌های آسیب‌پذیر

راه‌حل
به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا پلت فرم مورد استفاده خود را به آخرین نسخه به روز نمایند.

منبع: https://haxolot.com/posts/2021/moodle_pre_auth_shibboleth_rce_part1

مهم‌ترین اخبار منتشر شده در در پورتال مرکز ماهر در ماه گذشته :

• آسیب‌پذیری PrintNightmare با شدت بالا در سرویس Print Spooler ویندوز که بهره‌برداری از آن منجر به اجرای کد از راه دور بر روی سیستم ویندوزی و در اختیار گرفتن آن توسط مهاجم خواهد شد.
• آسیب‌پذیری HP Integrated Light Out که امکان دورزدن احراز هویت و اجرای کد از راه دور و افشای اطلاعات را فراهم می‌سازد.
• آسیب‌پذیری روز صفرم موجود در دو محصول Serv-U شرکت SolarWinds که به مهاجم امکان اجرای کد از راه دور، نصب برنامه، مشاهده، تغییر، یا حذف اطلاعات و یا اجرای برنامه‌های نصب شده بر روی سیستم آسیب‌پذیر را می‌دهد.
• هشدار شرکت SonicWall در خصوص حملات فعال باج‌افزاری بر روی برخی از محصولات خود
• دستورالعمل‌هایی برای جلوگیری از وقوع حوادث مشابه حملات سایبری اخیر
• آسیب‌پذیری محصولات VMware که می‌تواند دسترسی‌های مدیر سیستم را بدون انجام احرازهویت به‌دست آورد و با قرار دادن یک فایل مخرب در یک دایرکتوری خاص و بهره‌برداری از آسیب‌پذیری، کد دلخواه خود را با دسترسی‌های بالا اجرا نماید.
• هشدار شرکت Juniper Networks درخصوص آسیب‌پذیری بحرانی در محصول سرور AAA خود یعنی SBR Carrier که امکان اجرای کد از راه دور بر روی سیستم آسیب‌پذیر را برای مهاجم فراهم می‌کند.
• به‌روزرسانی‌هایی ماه جولای محصولات مایکروسافت برای 117 مورد آسیب‌پذیری
• آسیب‌پذیری بحرانی از نوع تزریق دستور SQL در برخی نسخه‌های افزونه‌ی WooCommerce که برای مهاجم احراز هویت نشده امکان اجرای کد بر روی وبسایت فروشگاهی آسیب‌پذیر را فراهم می‌کند.

خلاصه‌ای ازمهم‌ترین آسیب‌پذیری‌ها درجدول زیر آورده شده است.

لیست درحال بروزرسانی است ...

اخیراً یک نقص امنیتی در سیستم‌عامل‌های ویندوزی یافت شده که به موجب آن مهاجم قادر است سیستم‌های ویندوزی آسیب‌پذیر به طور خاص ویندوز سرورها را هدف قرار داده و کنترل آن را بدست گیرد:

• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2016
• Windows Server, version 20H2
• Windows Server, version 2004
• Windows Server 2019

این حمله که یک نوع حمله‌ی NTLM relay می‌باشد، به نام PetitPotam شناخته شده است. به‌طور کلی مهاجمان در حمله PetitPotam، از سرویس‌های موجود در دامنه که از احراز هویت NTLM استفاده می‌کنند و در برابر حملات NTML relay محافظت نشده‌اند، بهره‌برداری می‌کند.
‫مایکروسافت برای جلوگیری از این نوع حملات توصیه کرده است تا در سیستم‌ها به خصوص DCهایی که احراز هویت NTLM مورد استفاده قرار نگرفته است، NTLM غیرفعال شود؛ در صورت عدم امکان غیرفعال‌سازی، مدیران دامنه باید اطمینان حاصل کنند که هر سرویسی که از احراز هویت NTLM استفاده می‌کند با استفاده از مکانیزم EPA (Extended Protection for Authentication) یا SMB signing در برابر حملات مورد بحث و سرقت اعتبارنامه‌ی سیستم‌های ویندوزی محافظت شده‌ است.
به عنوان مثال یکی از سرویس‌هایی که به‌طور پیش‌فرض از احراز هویت NTLM استفاده می‌کند سرویس certificate اکتیو دایرکتوری یا ADCS (Active Directory Certificate Service) است که می‌تواند در این حملات مورد بهره‌برداری قرار گیرد. برای اطلاع از جزییات چگونگی محافظت از سرورهای ADCS در برابر حملات مذکور و کاهش مخاطرات آن، به پیوند زیر مراجعه کنید:

https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

به گفته‌ی مایکروسافت در صورتی که احراز هویت NTLM در دامنه فعال بوده و Certificate Service موجود در اکتیو دایرکتوری یا AD CS به همراه هر یک از سرویس‌های زیر استفاده شود، سیستم آسیب‌پذیر است:

• Certificate Enrollment Web Service
• Certificate Authority Web Enrollment

در اکثر موارد احراز هویت NTLM در شبکه فعال است و سرورهای AD CS نیز به طور پیش‌فرض در برابر حملات NTLM relay محافظت نشده‌اند. با توجه به اینکه اجرای موفق این حمله می‌تواند منجر به تحت کنترل گرفتن DC و در آخر کل شبکه سازمان شود، توصیه می‌شود در اسرع وقت نسبت به مقاوم‌سازی سرویس‌ها و سرورهای موجود در دامنه که از احراز هویت NTLM استفاده می‌کنند، اقدام کنید.

منابع:

https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

https://isc.sans.org/forums/diary/Active+Directory+Certificate+Services+ADCS+PKI+domain+admin+vulnerability/27668/

شرکت Adobe به‌روزرسانی‌هایی را به منظور وصله چندین ‫آسیب‌پذیری در محصولات خود منتشر کرده است. توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام شود.
این آسیب‌پذیری‌ها محصولات زیر را تحت تاثیر خود قرار می‌دهند:

• Adobe Photoshop
• Adobe Audition
• Adobe Character Animator
• Adobe Prelude
• Adobe Premiere Pro
• Adobe After Effects
• Adobe Media Encoder
• Adobe Bridge
• Adobe Acrobat and Reader
• Adobe Framemaker
• Adobe Illustrator
• Adobe Dimension

در جدول زیر برخی از آسیب‌پذیری‌های شدت بالا موجود در دو محصول پرکاربرد Adobe آورده شده است:

جهت کسب اطلاعات بیشتر در مورد سایر آسیب‌پذیری‌های موجود در محصولات Adobe که در این به‌روزرسانی وصله شده‌اند به پیوند زیر مراجعه کنید:

https://helpx.adobe.com/security.html

شرکت Atlassian از وجود یک ‫آسیب‌پذیری بحرانی در نسخه‌ی 6.3.0 محصولات Jira Data Center، Jira Core Data Center، Jira Software Data Center و Jira Service Management Data Center خبر داده است. این آسیب‌پذیری که از وجود امکان دسترسی نامحدود به پورت‌های Ehcache RM ناشی می‌شود، امکان اجرای کد از راه دور بر روی سیستم آسیب‌پذیر را برای مهاجم فراهم می‌کند. محصولات آسیب‌پذیر آورده شده در جدول زیر سرویس Ehcache RMI را در پورت‌های 40001 و احتمالاً 40011 اجرا کرده و در معرض دسترس مهاجمان قرار می‌دهند. مهاجمان می‌توانند از راه دور به این پورت‌ها متصل شده و به اجرای کد دلخواه بر روی محصولات آسیب‌پذیر Jira بپردازند.

با توجه به اینکهAtlassian از این آسیب‌پذیری به عنوان آسیب‌پذیری بحرانی یاد کرده است، توصیه می‌شود در اسرع وقت نسبت به‌ به‌روزرسانی محصولات آسیب‌پذیر اقدام کنید؛ همچنین توصیه می‌شود دسترسی به پورت‌های Ehcache RMI (40001 و احتمالاً 40011) محدود شود.
در صورت عدم امکان به‌روزرسانی، دسترسی به پورت‌های گفته شده را با استفاده از فایروال یا فناوری‌های مشابه محدود کنید.
برای اطلاع از جزییات نسخه‌های آسیب‌پذیر به هشدار منتشر شده توسطAtlassian به آدرس زیر مراجعه کنید:

https://confluence.atlassian.com/adminjiraserver/jira-data-center-and-jira-service-management-data-center-security-advisory-2021-07-21-1063571388.html

وجود چندین ‫#آسیب‌پذیری در سرویس‌دهنده WebLogic Oracle که به مهاجم احراز هویت‌نشده این امکان را می‌دهد تا با دسترسی به شبکه قربانی از این آسیب‌پذیری‌ها سوءاستفاده نماید. بهره برداری موفق از این آسیب‌پذیری ها به مهاجم این امکان را می‌دهد تا کنترل سرویس دهنده WebLogic را در دست گرفته و به اطلاعات موجود در سرویس‌دهنده دسترسی کامل داشته باشد. دسترسی مهاجم به شبکه قربانی می‌تواند از طریق سه پروتکل ارتباطی http, T3, IIOP صورت پذیرد. بحرانی ترین آسیب پذیری انتشار یافته با شناسه CVE-2019-2729 شناخته شده است که به نفوذگر راه دور این امکان را می دهد تا بدون احراز هویت از این آسیب پذیری سوءاستفاده نماید.

لیست آسیب پذیری ها به همراه نسخه آسیب پذیر و شدت خطر

به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا سرویس دهنده Oracle WebLogic را توسط وصله های امنیتی منتشر شده وصله نموده و سرویس دهنده خود را به آخرین نسخه به روز نمایند.

منبع: https://thehackernews.com/2021/07/oracle-warns-of-critical-remotely.html

گزارشی از 502 مورد خدمت ارائه شده توسط مرکز ماهر در تیر ماه سال 1400 در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.

در تاریخ 24 تیر ماه 1400، woocommerce از وجود یک #‫آسیب‌پذیری بحرانی در برخی نسخه‌های این افزونه‌ی وردپرسی محبوب و پرکاربرد خبر داد. این آسیب‌پذیری که از نوع تزریق دستور SQL می‌باشد برای مهاجم احراز هویت نشده امکان اجرای کد بر روی وبسایت فروشگاهی آسیب‌پذیر را فراهم می‌کند. افزونه‌‌های تحت تاثیر به شرح زیر است:

• نسخه‌های ۳.۳ تا ۵.۵.۰ افزونه WooCommerce
• نسخه‌های ۲.۵ تا ۵.۵.۰ افزونه‌ی woocommerce blocks

با توجه به اینکه بهره‌برداری از این آسیب‌پذیری در برخی حملات محدود و هدفمند مشاهده شده است، به مدیران وبسایت‌های وردپرسی اکیداً توصیه می‌شود، هر چه سریع‌تر نسبت به به‌روزرسانی این افزونه به آخرین نسخه (5.5.1) یا حذف آن اقدام نمایند.
برای اطلاع از جزییات حملات محدود و هدفمند مورد بحث و ملاحضات امنیتی بیشتر به پیوند زیر مراجعه کنید:

https://www.wordfence.com/blog/2021/07/critical-sql-injection-vulnerability-patched-in-woocommerce/
 

منبع: https://woocommerce.com/posts/critical-vulnerability-detected-july-2021