شرکت VMware به‌روزرسانی‌هایی را به منظور وصله دو ‫آسیب‌پذیری CVE-2021-21985 و CVE-2021-21986 در محصولات خود منتشر کرده است. توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام شود. اعمال وصله‌ها، به‌طور کامل آسیب‌پذیری‌ها را رفع می‌کند.
این آسیب‌پذیری‌ها محصولات زیر را تحت تاثیر خود قرار می‌دهند:

• VMware vCenter Server (vCenter Server)
• VMware Cloud Foundation (Cloud Foundation)

در صورتی که امکان به‌روزرسانی محصولات آسیب‌پذیر وجود ندارد، اقدامات زیر جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور توصیه می‌گردد:

• راه‌اندازی مجدد سرویس‌ها
• افزونه‌ها باید روی حالت incompatible تنظیم شوند. غیرفعال کردن یک افزونه از داخل UI مانع از بهره‌برداری نمی‌شود.
• افزونه‌های غیرفعال شده باید پس از اعمال به‌روزرسانی‌ها مجدداً فعال شوند.
• محدود کردن دسترسی به رابط‌های مدیریتی سرور vCenter با استفاده از کنترل‌های دسترسی محیطی شبکه

برای فعال یا غیر فعال کردن افزونه‌ها در vSphere Client یا vSphere Web Client ، باید فایل پیکربندی compatibility-matrix.xml که در یکی از دایرکتوری‌های زیر قرار دارد، ویرایش شود.

شکل 1: آدرس دایرکتوری مربوط به فایل compatibility-matrix.xml

خطوط زیر باید جهت غیرفعال کردن افزونه‌ها به فایل compatibility-matrix.xml اضافه شوند:

شکل 2: نحوه غیرفعال کردن افزونه‌های آسیب‌پذیر

آسیب‌پذیری‌های مذکور، دارای شدت متوسط و بحرانی هستند. با توجه به شدت این آسیب‌پذیری‌ها، بهره‌برداری از آن‌ها منجر به اجرای کد از راه دور و نقض احرازهویت خواهد شد. مهاجم با دسترسی به پورت 443 در شبکه می‌تواند از آسیب‌پذیری CVE-2021-21985 برای اجرای دستورات با امتیازات بالا در سیستم‌عاملی که میزبان سرور vCenter است، بهره‌برداری کند. همچنین می‌تواند با دسترسی به پورت 443 در شبکه در سرور vCenter و بهره‌برداری از آسیب‌پذیری CVE-2021-21986، اقداماتی را با افزونه‌های تحت تأثیر آسیب‌پذیری، بدون انجام عمل احراز هویت انجام دهد. در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مورد بحث آورده شده است.

منابع:

https://blogs.vmware.com/vsphere/2021/05/vmsa-2021-0010.html
https://www.vmware.com/security/advisories/VMSA-2021-0010.html
https://kb.vmware.com/s/article/83829

وجود چندین ‫آسیب‌پذیری در سرویس‌دهنده WebLogic Oracle که به مهاجم احراز هویت‌نشده این امکان را می‌دهد تا با دسترسی به شبکه قربانی از این آسیب پذیری ها سوءاستفاده نماید. بهره برداری موفق از این آسیب‌پذیری ها به مهاجم این امکان را می‌دهد تا کنترل سرویس دهنده WebLogic را در دست گرفته و به اطلاعات موجود در سرویس‌دهنده دسترسی کامل داشته باشد. دسترسی مهاجم به شبکه قربانی می‌تواند از طریق سه پروتکل ارتباطی http, T3, IIOP صورت پذیرد.

لیست آسیب پذیری ها به همراه نسخه آسیب پذیر و شدت خطر

به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا سرویس دهنده Oracle WebLogic را توسط وصله های امنیتی منتشر شده وصله نموده و سرویس دهنده خود را به آخرین نسخه به روز نمایند.

منبع:

https://www.oracle.com/security-alerts/cpuapr2021.html

شرکت ‫سیسکو اخیراً به منظور وصله آسیب‌پذیری‌های موجود در محصولات خود به‌روزرسانی‌هایی را منتشر نموده است؛ در این بین دو محصول Cisco EPN Manager و Cisco Modeling Labs دارای ‫آسیب‌پذیری با شدت بالا می‌باشند. با توجه به اینکه هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی سیستم‌های آسیب‌پذیر اقدام شود.

دو مورد از محصولات سیسکو دارای آسیب‌پذیری با شدت بالا 8.8 از 10 و سایر موارد دارای شدت متوسط هستند. بهره‌برداری موفقیت‌آمیز از دو آسیب‌پذیری مذکور منجر به اجرای کد از راه دور بر روی دستگاه‌های آسیب‌پذیر خواهد شد. در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مورد بحث آورده شده است.

جهت کسب اطلاع از جزییات فنی این آسیب‌پذیری‌ها به دو پیوند زیر مراجعه کنید:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pi-epnm-cmd-inj-YU5e6tB3

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cml-cmd-inject-N4VYeQXB

‫اندروید در به‌روزرسانی ماه می، چهار آسیب‌پذیری روز صفرم با شناسه‌های زیر را وصله نمود. هر چهار آسیب‌پذیری ثابت‌افزار GPU را تحت تاثیر قرار می‌دهند.

• CVE-2021-1905 با شدت بالا (7.8 از 10)
• CVE-2021-1906 با شدت بالا (7.8 از 10)
• CVE-2021-28663
• CVE-2021-28664

این آسیب‌پذیری‌ها از این جهت مورد توجه است که به گزارش اندروید ممکن است طی این مدت در حملات محدود و هدفمند مورد بهره‌برداری فعال قرار گرفته باشد. برای بررسی اینکه دستگاه اندرویدی به‌روزرسانی ماه می را دریافت کرده است یا خیر باید در مسیر زیر به قسمتAndroid Patch Security Level مراجعه شود:

Setting -> About -> Android Patch Security Level

توصیه می‌شود به محض دریافت وصله امنیتی ماه می بر روی دستگاه اندرویدی خود، سیستم‌عامل را به‌روزرسانی نمایید.

منبع:

https://source.android.com/security/bulletin/2021-05-01.html

طبق اخبار منتشره یک ‫آسیب‌پذیری خطرناک به شناسه‌ی CVE-2021-20020 در نرم‌افزار SonicWall GMS کشف شده است که در صورت بهره‌برداری به مهاجم احراز هویت نشده امکان ارتقای امتیاز به کاربر root بر روی ماشین آسیب‌پذیر را می‌دهد. این آسیب‌پذیری با شدت بحرانی 9.8 از 10 در نسخه‌ 9.3 و نسخه‌های قبل از آن در نرم‌افزار GMS وجود دارد.
نرم‌افزار مورد بحث امکان مدیریت متمرکز دستگاه‌های فایروال SonicWall و تجهیزات نظارت بر شبکه را فراهم می‌کند. با توجه به کاربرد این نرم‌افزار و حساسیت آن و عدم انتشار راهکار موقت برای کاهش مخاطرات آسیب‌پذیری، به مدیران امنیت و شبکه اکیداً توصیه می‌شود آسیب‌پذیر بودن نرم‌افزار مورد استفاده را بررسی کرده و به اعمال وصله‌های امنیتی و به‌روزرسانی به آخرین نسخه اقدام نمایند.

منبع:

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0009

گزارشی از 772 مورد خدمت ارائه شده توسط مرکز ماهر در اردیبهشت ماه سال 1400 در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.

استاندارد DICOM مخفف کلمات Digital Imaging and COmmunications in Medicine می باشد که یک استاندارد بین المللی برای تبادل، ذخیره سازی و ارتباط تصاویر پزشکی دیجیتال و همچنین داده های دیجیتال پزشکی بر روی تکنولوژِی های دیگر مانند PACS و VNAs می باشد. عدم پیکربندی مناسب و ایزوله سازی شبکه می تواند زمینه را برای سوءاستفاده از این استاندارد و تکنولوژی های مرتبط با آن فراهم نماید. از موارد سوءاستفاده از این استاندارد می توان به نشت اطلاعات از طریق دسترسی مهاجم احراز هویت نشده غیر مجاز اشاره نمود. موارد موجود می تواند شامل اطلاعات هویتی، پزشکی و غیره مراجعین باشد. این استاندارد به خودی خود آسیب پذیر نیست اما به دلیل ضعف در موارد امنیتی می تواند مورد سوءاستفاده قرار گیرد. یکی از این موارد امنیتی استفاده از اتصال غیر رمز گذاری شده از طریق پروتکل TCP است.
راه حل

• در صورت عدم نیاز، دسترسی به تکنولوژی های PACS , VNAs از خارج از محیط سازمان و یا بیمارستان بسته شود.
• در صورت نیاز به دسترسی به اطلاعات، ارتباط client با تکنولوژی های PACS , VNAs از طریق یک شبکه خصوصی و امن مانند VPN ها پیاده سازی و صورت پذیرد.
• ارتباطات با تکنولوژی های PACS, VNAs از طریق ابزار های امنیتی مانند فایروال ها و سیستم های تشخیص نفوذ کنترل و مدیریت شوند.

منابع:

https://link.springer.com/article/10.1007/s10278-020-00393-3#Sec15

https://www.radiantviewer.com/dicom-viewer-manual/security-considerations.html

طی هفته‌ی گذشته ‫مایکروسافت برای 55 آسیب‌پذیری در برخی محصولات خود از جمله Microsoft Windows، Internet Explorer، Microsoft Office، Exchange Server و چند محصول دیگر وصله‌های امنیتی منتشر نمود. در این بین چهار آسیب‌پذیری بحرانی و 50 آسیب‌پذیری با شدت بالا شناخته شده‌اند. برخی آسیب‌پذیری‌های مهم‌تر وصله شده در این به‌روزرسانی، به شرح زیر است:

در این بین مهم‌ترین آسیب‌پذیری، آسیب‌پذیری اجرای کد از راه دور موجود در پشته‌ی پروتکل HTTP است (CVE-2021-31166) که طریقه‌ی بهره‌برداری از آن در سطح اینترنت و به صورت عمومی منتشر شده است و مخاطرات ناشی از این آسیب‌پذیری را دو چندان می‌کند؛ لذا توصیه می‌شود در اسرع وقت به به‌روزرسانی ماشین‌های آسیب‌پذیر اقدام نمایید. امکان دریافت به‌روزرسانی برای کاربران ویندوز با استفاده از بخش windows update در مسیر زیر فراهم است.

Start > Settings > Update & Security > Windows Update

جهت اطلاع از دیگر محصولات آسیب‌پذیر و جزییات فنی این آسیب‌پذیری‌ها به پیوند زیر مراجعه نمایید:

https://msrc.microsoft.com/update-guide/releaseNote/2021-May

منبع:

https://msrc.microsoft.com/update-guide/releaseNote/2021-May

طریقه‌ی بهره‌برداری از یکی از آسیب‌پذیری‌های بحرانی در سرویس دهنده Exim server که طی هفته اخیر در خصوص آن هشدار داده شده بود، منتشر شده است. این ‫آسیب‌پذیری بحرانی با شناسه CVE-2020-28018 و شدت 9.8 از 10 به مهاجم احراز هویت نشده امکان اجرای کد دلخواه بر روی ماشین آسیب‌پذیر را می‌دهد. با دسترس بودن اکسپلویت این آسیب‌پذیری برای عموم، خطر آن دو چندان خواهد شد؛ لذا اکیداً توصیه می‌شود سرویس‌دهنده Exim آسیب‌پذیر را وصله نموده و به آخرین نسخه به‌روزرسانی نمایید.

طبق اخبار منتشره، اخیرا نسخه 5.7.2 ‫وردپرس منتشر شده است. این نسخه حاوی به‌روزرسانی‌هایی امنیتی به منظور وصله دو ‫آسیب‌پذیری است که نسخه‌های وردپرس پیش از 5.7.2 را تحت تاثیر خود قرار می‌دهند. به کاربران توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سایت‌های وردپرسی آسیب‌پذیر اقدام شود. این آسیب‌پذیری‌ها به طور مشخص افزونه PHPMailer وردپرس را تحت تاثیر خود قرار می‌دهند.
هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است. اعمال به‌روزرسانی‌های مذکور به دو روش زیر امکان‌پذیر است:
1. مراجعه به سایت WordPress.org و بارگیری فایل به‌روزرسانی
2. استفاده از مسیر Dashboard → Updates در پیشخوان سایت وردپرسی و انتخاب گزینه Update Now
در صورتی که سایت وردپرسی از به‌روزرسانی‌های خودکار در پس‌زمینه پشتیبانی می‌کند، فرآیند به‌روزرسانی به‌صورت خودکار در آن آغاز می‌شود.
این آسیب‌پذیری‌ها، دارای شدت بحرانی و بالا هستند. با توجه به شدت آن‌ها، بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها منجر به حملات تزریق شیء در سایت‌های وردپرسی آسیب‌پذیر خواهد شد.
لازم به ذکر است آسیب‌پذیری CVE-2018-19296 از نسخه 3.7 وردپرس وجود داشته و همچنان نسخه‌های 3.7 تا 5.7 وردپرس را تحت تاثیر قرار می‌دهد.
در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مورد بحث آورده شده است.

منابع:

https://wordpress.org/news/2021/05/wordpress-5-7-2-security-release/
https://nvd.nist.gov/vuln/detail/CVE-2018-19296
https://nvd.nist.gov/vuln/detail/CVE-2020-36326