اخبار | مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای

تاریخ ایجاد

1400-02-27

شرکت Adobe طی هفته‌ی گذشته با انتشار به‌روزرسانی‌‌هایی 44 #‫آسیب‌پذیری را در محصولات مختلف خود وصله نمود. در بین 10 آسیب‌پذیری بحرانی در Acrobat and Reader و پنج آسیب‌پذیری بحرانی در Adobe Illustrator وصله شده است. به‌طور کلی محصولات آسیب‌پذیر به شرح زیر است:

Experience Manager
InDesign
Illustrator
InCopy
Adobe Genuine Service
Acrobat and Reader
Magento Creative Cloud Desktop
Media Encoder
After Effects
Medium
Animate

در این بین، به‌روزرسانی منتشر شده مربوط به محصول Acrobat and Reader از اهمیت بیشتری برخوردار است. بهره‌برداری از آسیب‌پذیری روصفرم به شناسه CVE-2021-28550 در این محصول منجر به اجرای کد دلخواه بر روی سیستم آسیب‌پذیر خواهد شد. همچنین مهاجمان در برخی حملات محدود با بهره‌برداری فعال از این آسیب‌پذیری کاربران ویندوز را هدف قرار داده‌‌اند. با توجه به اینکه استفاده از فایل‌های PDF مخرب در حملات Phishing از طریق ایمیل در بین مهاجمان رواج دارد، در اسرع وقت به به‌روزرسانی نرم‌افزار Acrobat and Reader اقدام نمایید و در صورت عدم امکان به‌روزرسانی، از گشودن فایل‌های PDF مشکوک با استفاده از این نرم‌افزار آسیب‌پذیر خودداری کنید.
در جدول زیر اطلاعات مختصری از برخی آسیب‌پذیری‌های مهم محصولات پرکاربرد Adobe آورده شده است.

برای اطلاع از جزییات فنی و روش به‌روزرسانی آسیب‌پذیری‌ محصولات فوق به پیوند زیر مراجعه کنید:

https://helpx.adobe.com/security.html

برچسب‌ها

اخبار

هشدارها و راهنمایی امنیتی

تاریخ ایجاد

1400-02-19

طبق اخبار منتشره سه ‫آسیب‌پذیری با شدت بالا و متوسط در سرورهای BIND کشف شده است. بهره‌برداری موفقیت‌آمیز از آسیب‌پذیری CVE-2021-25216 منجر به اجرای کد از راه دور در سرورهای آسیب‌پذیر خواهد شد. لازم به ذکر است که خطر آسیب‌پذیری مذکور در معماری‌های 32 بیتی بیشتر تشخیص داده شده است. در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مورد بحث آورده شده است.

سروری که یکی از نسخه‌ها‌ی BIND آسیب‌پذیر زیر را اجرا کند و به نحوه‌ی پیکربندی شده باشد که از قابلیت GSS-TSIG استفاده کند (این قابلیت در حالت پیش‌فرض فعال نیست) نسبت به CVE-2021-25216 آسیب‌پذیر خواهد بود:

BIND 9.5.0 - 9.11.29
BIND 9.12.0 - 9.16.13
BIND 9.11.3-S1 - 9.11.29-S1
BIND 9.16.8-S1 - 9.16.13-S1

معمولا در شرایطی که در شبکه، سرور BIND با Samba یکپارچه شده باشد یا با کنترل‌کننده‌ی دامنه‌ Active Directory ترکیب شده باشد، قابلیت GSS-TSIG مورد استفاده قرار می‌گیرد. با توجه به اینکه ممکن است شرایط مذکور در بسیاری از موارد صادق باشد توصیه می‌شود با توجه به نسخه‌های آسیب‌پذیر گفته شده، آسیب‌پذیر بودن سرور سازمان خود را مورد بررسی قرار دهید و در اسرع وقت نسبت به به‌روزرسانی سرورهای آسیب‌پذیر اقدام کنید. نسخه‌هایی که آسیب‌پذیری در آنها وصله شده است شامل موارد زیر است:

BIND 9.11.31
BIND 9.16.15
BIND 9.11.31-S1
BIND 9.16.15-S1

راهکار موقت برای کاهش مخاطرات آسیب‌پذیری CVE-2021-25216:
همانطور که گفته شد این آسیب‌پذیری فقط سرورهایی را تحت تاثیر قرار می‌دهد که قابلیت GSS-TSIG در آنها فعال باشد. این قابلیت اغلب برای صحت‌سنجی و احراز هویت به‌روزرسانی‌های خودکار به کار می‌رود؛ اگر امکان استفاده از سازوکار دیگری برای صحت‌سنجی به‌روزرسانی‌های خودکار وجود دارد، با غیرفعال کردن این قابلیت می‌توان مخاطرات ناشی از آسیب‌پذیری مورد بحث را کاهش داد.
برای اطلاع از جزییات فنی و روش به‌روزرسانی دو آسیب‌پذیری دیگر به لینک‌های زیر مراجعه کنید:

https://kb.isc.org/docs/cve-2021-25215
https://kb.isc.org/docs/cve-2021-25214

منابع:

https://kb.isc.org/docs/cve-2021-25216
https://kb.isc.org/docs/cve-2021-25215
https://kb.isc.org/docs/cve-2021-25214

برچسب‌ها

اخبار

هشدارها و راهنمایی امنیتی

تاریخ ایجاد

1400-02-19

در تاریخ 20 اوکتبر 2020 مجموعا 21 آسیب پذیری در سرویس دهنده Exim گزارش شده است که امنیت سرویس دهنده مذکور را در شرایط بحرانی قرار میدهد. مهاجم میتواند از مجموع 21 ‫آسیب‌پذیری، 11 مورد را به صورت محلی مورد سوءاستفاده قرار داده و 10 مورد دیگر از راه دور قابل سوءاستفاده میباشند. برخی از این آسیب پذیری ها با یکدگیر تشکیل یک زنجیره داده و مهاجم میتواند با استفاده از این زنجیره آسیب پذیری بدون نیاز به احراز هویت و از راه دور امکان اجرا کد با سطح دسترسی root را داشته باشد. از دیگر خطرات این مجموعه آسیب پذیری این است که مهاجم با سوء استفاده موفق از این آسیب‌پذیری‌ها می تواند تنظیمات ایمیل های موجود را تغییر داده و یا حساب کاربری برای خود ایجاد نماید.لیست آسیب‌پذیری‌ها و نسخه‌های آسیب پذیر در جداول زیر آورده شده است.

به مدیران و مسئولان مربوطه اکیدا توصیه می‌شود تا سرویس‌دهنده Exim را توسط وصله‌های امنیتی منتشر شده وصله نموده و سرویس دهنده نام برده شده را به آخرین نسخه به روز نمایند.

https://www.qualys.com/2021/05/04/21nails/21nails.txt
https://portswigger.net/daily-swig/multiple-critical-vulnerabilities-in-exim-email-server-software-pose-rce-risk

برچسب‌ها

اخبار

هشدارها و راهنمایی امنیتی

تاریخ ایجاد

1400-02-18

شرکت ‫سیسکو طی یک هفته اخیر به منظور وصله آسیب‌پذیری‌های موجود در 10 محصول خود به‌روزرسانی‌هایی را منتشر نموده است؛ در بین دو محصول Cisco HyperFlex HX و Cisco SD-WAN vManage Software دارای ‫آسیب‌پذیری‌ های بحرانی می‌باشند. با توجه به اینکه هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است توصیه می‌شود هرچه سریع‌تر آسیب‌پذیر بودن دستگاه‌های سیسکو خود را از طریق لینک زیر بررسی نموده و نسبت به به‌روزرسانی سیستم‌های آسیب‌پذیر اقدام کنید:

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&impact=critical,high&last_published=2021%20May&sort=-day_sir#~Vulnerabilities

جزییات آسیب‌پذیری‌ها
دو مورد از محصولات سیسکو دارای آسیب‌پذیری با شدت بحرانی 9.8 و 9.1 و سایر موارد دارای شدت بالا هستند. بهره‌برداری موفقیت‌آمیز از آسیب‌پذیری‌های بحرانی مذکور منجر به اجرای کد از راه دور، ارتقای امتیاز و اجرای حملات تزریق دستور در دستگاه‌های آسیب‌پذیر خواهد شد. در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مورد بحث آورده شده است.

منبع:

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&impact=critical,high&last_published=2021%20May&sort=-day_sir#~Vulnerabilities

برچسب‌ها

اخبار

هشدارها و راهنمایی امنیتی

تاریخ ایجاد

1400-02-18

در تاریخ 15 اردیبهشت ماه 1400، شرکت VMware از وجود یک ‫آسیب‌پذیری بحرانی با شدت 9.8 از 10 در محصول «VMware vRealize Business for Cloud» خبر داد و به‌روزرسانی‌هایی را به منظور وصله نمودن این آسیب‌پذیری‌ منتشر نمود. بهره‌برداری از آسیب‌پذیری مذکور منجر به اجرای کد از راه دور در سیستم آسیب‌پذیر خواهد شد و مهاجم غیرمجازی که به این سیستم دسترسی دارد برای بهره‌برداری از این آسیب‌پذیری به هیچگونه امتیاز یا دسترسی خاصی نیاز ندارد. جزییات بیشتر در جدول زیر قابل مشاهده است:

محصول vRealize Business for Cloud معمولاً در شبکه محلی سازمان مورد استفاده قرار می‌گیرد، اما ممکن است در مواردی سیستم‌ها به گونه‌ای پیکربندی شده باشند که دسترسی به آنها از طریق اینترنت فراهم باشد؛ لذا با توجه به شدت بالای آسیب‌پذیری و عدم انتشار روش موقت جهت کاهش مخاطرات آن، توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سیستم‌های آسیب‌پذیر اقدام شود و در صورت امکان دسترسی به سیستم آسیب‌پذیر از طریق اینترنت، سیستم از بستر اینترنت خارج شود. لینک راهنمای به‌روزرسانی در زیر آمده است:

https://kb.vmware.com/s/article/83475

منابع:

https://www.vmware.com/security/advisories/VMSA-2021-0007.html
https://www.securityweek.com/vmware-patches-critical-flaw-reported-sanctioned-russian-security-firm

برچسب‌ها

اخبار

هشدارها و راهنمایی امنیتی

تاریخ ایجاد

1400-02-13

شرکت ‫سیسکو در به‌روزرسانی اخیر خود در تاریخ 8 اردیبهشت ماه، به‌روزرسانی‌هایی را به منظور وصله ‫آسیب‌پذیری‌ های موجود در محصولات خود منتشر کرد؛ لذا توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سیستم‌های آسیب‌پذیر اقدام شود.
این آسیب‌پذیری‌ها محصولات زیر را تحت تاثیر خود قرار می‌دهند:

Cisco Adaptive Security Appliance (ASA)
Cisco Firepower Threat Defense (FTD)
Cisco Firepower Management Center (FMC)
Cisco Firepower Device Manager (FDM)

هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است. مخاطرات مربوط به تنها یک مورد از این آسیب‌پذیری‌ها (CVE-2021-1501) را می‌توان با انجام روش‌های موقت زیر کاهش داد:

غیرفعال کردن SIP Inspection (ممکن است این راهکار برای کلیه کاربران مناسب نباشد.)

استفاده از دستور زیر جهت غیر فعال کردن این ویژگی در Cisco ASA:

cisco

غیر فعال کردن این ویژگی در Cisco FTD:

configure inspection sip disable

تنها میزبان‌های SIP مجاز که از ACLها استفاده می‌کنند پذیرفته شوند.

6 مورد از این آسیب‌پذیری‌ها، دارای شدت بالا و سایر موارد دارای شدت متوسط هستند. بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها منجر به حملات XSS، XXE، اجرای کد از راه دور و منع سرویس در دستگاه‌های آسیب‌پذیر خواهد شد.
در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مورد بحث آورده شده است.

منابع:

برچسب‌ها

اخبار

هشدارها و راهنمایی امنیتی

تاریخ ایجاد

1400-02-01

گزارشی از 503 مورد خدمت ارائه شده توسط مرکز ماهر در فروردین ماه سال 1400 در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.

برچسب‌ها

اخبار

گزارش ماهیانه خدمات مرکز ماهر

تاریخ ایجاد

1400-01-27

‫مایکروسافت در 24 فروردین ماه با انتشار به‌روزرسانی‌هایی از وجود چهار ‫آسیب‌پذیری خطرناک در ماکروسافت Exchange و پنج آسیب‌پذیری روز صفرم در محصولات دیگر خود خبر داد. همان‌طور که در جدول زیر مشاهده می‌شود، هر چهار آسیب‌پذیری در مایکروسافت Exchange در صورت بهره‌برداری موفقیت‌آمیز توسط مهاجم، منجر به اجرای کد از راه دور بر روی سیستم آسیب‌پذیر خواهد شد.

برای بررسی آسیب‌پذیر بودن سرور exchange خود از اسکریپت موجود در آدرس زیر استفاده نمایید. پس از دانلود اسکریپت فوق و اجرای دستورات cmdlet مشخص شده، امکان بررسی وجود آسیب‌پذیری در یک یا چند سرور exchange و دریافت گزارش فراهم می‌شود.

https://github.com/dpaulson45/HealthChecker#download

مایکروسافت برای هر چهار آسیب‌پذیری به‌روزرسانی‌هایی را منتشر کرده است. امکان دانلود پکیج به‌روزرسانی‌های منتشر شده در بخش Download Center در لینک زیر وجود دارد:

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-april-13-2021-kb5001779-8e08f3b3-fc7b-466c-bbb7-5d5aa16ef064

همچنین مطابق معمول امکان دریافت به‌روزرسانی‌ها توسط Microsoft Update نیز وجود دارد. تاکنون شواهدی مبنی بر بهره‌برداری فعال از آسیب‌پذیری‌های مورد بحث مشاهده نشده است اما با توجه به شدت بالای آسیب‌پذیری‌ها، توصیه می‌شود در اسرع وقت نسبت به اعمال وصله‌های منتشر شده بر روی سرورهای آسیب‌پذیر اقدام نمایید.
همچنین در جدول زیر نیز جزییات سه آسیب‌پذیری از بین پنج آسیب‌پذیری روز صفرم محصولات مختلف مایکروسافت که شدت بالایی داشتند، آورده شده است:

لازم به ذکر است که بهره‌برداری‌های فعال از آسیب‌پذیری CVE-2021-28310 توسط گروه تهدید مستمر پیشرفته‌ی BITTER مشاهده شده است. برای مشاهده‌ی سایر آسیب‌پذیری‌ها این مجموعه به‌روزرسانی ماکروسافت و دریافت وصله‌های امنیتی به پیوند زیر مراجعه کنید:

https://msrc.microsoft.com/update-guide/deployments

منبع:

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

برچسب‌ها

اخبار

هشدارها و راهنمایی امنیتی

تاریخ ایجاد

1400-01-24

هفت نقص امنیتی مختلف بر روی سرویس دهنده dnsmsq به تازگی کشف و منتشر شده است. این #‫آسیب‌پذیری ها که از درجه خطر بحرانی تا متوسط دسته‌بندی شده‌اند منجر به آسیب‌پذیری‌هایی از نوع DNS cache poisoning و Buffer overflow می‌شوند. این مجموعه آسیب‌پذیری‌ها به مهاجم اجازه می‌دهد تا از راه دور کد دلخواه خود را بر روی سیستم اجرا کرده، حملات محروم سازی از سرویس را پیاده کرده و یا کاربران را به صفحات دلخواه خود از جمله صفحات فیشینگ هدایت کند. لازم به ذکر است که سواستفاده از این آسیب‌پذیری ساده تلقی شده و مدیران مربوطه می‌بایست هر چه سریعتر نسبت به وصله نمودن سرویس دهنده خود اقدام نمایند.

شکل 1 آسیب پذیری های Buffer overflow ذکر شده

شکل 2 آسیب پذیری های DNS Cache Poisoning ذکر شده

با توجه به بررسی های صورت گرفته تمامی نسخه های قبل از نسخه 2.83 آسیب پذیر می باشند. با اجرای دستور زیر در خط فرمان میتوان شماره نسخه سرویس دهنده خود را مشاهده نمود.

dnsmasq -v

به مدیران و مسئولان مربوطه تاکید می شود تا از آخرین نسخه موجود یعنی نسخه 2.83 استفاده و سرویس دهنده خود را هرچه سریع‌تر به‌روزرسانی نمایند. همچنین در صورت عدم نیاز به این سرویس دهنده آن را غیرفعال نموده یا تنظیمات را به گونه‌ای انجام دهند که این سرویس دهنده صرفا در شبکه داخلی اقدام به خدمت رسانی نماید.
با توجه به راه حل های اشاره شده در منابع مختلف برای جلوگیری از آسیب پذیری DNS cache poisoning نیاز است تا ویژگی DNSSEC فعال باشد اما در صورت فعال سازی این ویژگی مهاجم میتواند حملات Buffer overflow اشاره شده در متن گزارش را اجرا نماید به همین منظور راه حل های موقت برای مرتفع سازی این آسیب پذیری ها مورد تایید مرکز ماهر نیست.

منابع:

https://www.jsof-tech.com/disclosures/dnspooq/
https://www.tenable.com/blog/dnspooq-seven-vulnerabilities-identified-in-dnsmasq

برچسب‌ها

اخبار

هشدارها و راهنمایی امنیتی

تاریخ ایجاد

1400-01-24

شرکت ‫سیسکو در به‌روزرسانی اخیر خود، به‌روزرسانی‌هایی را به منظور وصله #‫آسیب‌پذیری‌ های موجود در محصولات خود منتشر کرد؛ لذا توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سیستم‌های آسیب‌پذیر اقدام شود. طبق advisory این شرکت، هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است و تنها با به‌روزرسانی محصولات آسیب‌پذیر می‌توان آن‌ها را رفع نمود.
این آسیب‌پذیری‌ها محصولات زیر را تحت تاثیر خود قرار می‌دهند:

Cisco SD-WAN vManage Software
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface
Cisco Small Business RV Series Routers
Cisco Small Business RV Series Routers Link Layer Discovery Protocol
Cisco Unified Communications Products
Cisco Advanced Malware Protection for Endpoints Windows Connector, ClamAV for Windows, and Immunet DLL

چهار مورد از این آسیب‌پذیری‌ها، بحرانی و دارای شدت 9.8 و سایر موارد دارای شدت بالا هستند. با توجه به شدت این آسیب‌پذیری‌ها، مهاجم با بهره‌برداری از این آسیب‌پذیری‌ها می‌تواند کنترل کامل دستگاه آسیب‌پذیر را به دست آورد. بهره‌برداری موفقیت‌آمیز از کلیه این آسیب‌پذیری‌ها (به‌جز آسیب‌پذیری CVE-2021-1386) منجر به اجرای کد از راه دور در دستگاه‌های آسیب‌پذیر خواهد شد. همچنین بهره‌برداری از آسیب‌پذیری‌های CVE-2021-1251، CVE-2021-1308 و CVE-2021-1309 منجر به حملات منع سرویس خواهد شد.
در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مورد بحث آورده شده است.