گزارشی از 254 مورد خدمت ارائه شده توسط مرکز ماهر در دو هفته اول فروردین ماه سال 1400 (1 الی 15 فروردین 1400) در گرافهای زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخشهای دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.
پیرو اطلاع رسانی پیشین مرکز ماهر در خصوص چندین #آسیبپذیری در سیستم عامل امنیتی FortiOS شرکت Fortinet، بررسی ها نشان می دهد که گروههای مهاجم سازمان یافته با اسکن پورت های 443، 4443 ، 8443 و 10443 بر بستر اینترنت به دنبال کشف دستگاههای آسیبپذیر، بهرهبرداری و سوءاستفاده از سلسله آسیبپذیریهای مذکور با شناسههای زیر میباشند:
این سلسله آسیبپذیری که محصولات SSL VPN (پورتال تحت وب VPN) این شرکت را تحت تاثیر قرار میدهند، به مهاجم امکان بدست آوردن Credentialها، دورزدن احراز هویت چند مرحلهای و شنود ترافیک احراز هویت (حمله مرد میانی-MITM) را به منظور رهگیری Credentialها فراهم میآورد. رصد فضای سایبری کشور توسط این مرکز انجام و به میزبانهای آسیبپذیر اطلاعرسانی لازم انجام شده است.
توصیهها:
در پی انتشار نسخه اول ضدبدافزار بومی بیت بان برای سیستم عامل اندروید، این شرکت به سفارش مرکز ماهر، به بررسی تشخیص یا عدم تشخیص پنج بدافزار شایع در تلفنهای همراه در کشور پرداخته است. نتیجه این بررسی در گزارش نشان میدهد که استفاده از این ضدبدافزار باعث شناسایی چنین بدافزارهایی در تلفنهای همراه خواهد شد. همچنین یادآور میشود بررسی مرکز ماهر نشان میدهد که در حال حاضر بیش از صدهزار تلفن همراه در کشور آلوده به یکی از این بدافزارهای هستند. نمونه فایلهای بدافزارهای بررسی شده از اینجا قابل دانلود است.
شرکت سیسکو در چهارم فروردین ماه سال جاری بهروزرسانیهایی برای برخی محصولات خود منتشر کرد که در این بین یک آسیبپذیری بحرانی با شدت 9.9 از 10 در نرمافزار Cisco Jabber در ویندوز وجود دارد که امکان اجرای برنامه دلخواه از راه دور را برای مهاجم احراز هویت شده فراهم میکند. سیسکو راهکار موقتی برای کاهش مخاطرات این آسیبپذیری ارائه نکرده است لذا توصیه میشود در اسرع وقت نسبت به اعمال وصلههای منتشر شده اقدام نمایید. نسخههای وصله شده این محصول شامل 12.1.5، 12.5.4، 12.6.5، 12.7.4، 12.8.5 و 12.9.5 میباشند. دو آسیبپذیری دیگر با شدت بالا نیز نرمافزارCisco IOS XE را تحت تاثیر قرار میدهد. یک مهاجم احراز هویت نشده قادر است با بهرهبرداری موفقیتآمیز از این دو آسیبپذیری منجر به ایجاد شرایط منع سرویس (DoS) و اجرای کد دلخواه از راه دور با سطح دسترسی root شود (CVE-2021-1451 و CVE-2021-1446). سیسکو برای این دو آسیبپذیری راهکارهای کاهشی ارائه کرده است:
- راهکارهای کاهش مخاطرات CVE-2021-1451:
- راهکارهای کاهش مخاطرات CVE-2021-1446:
راهکار موقت یا جایگزینی برای کاهش مخاطرات سایر آسیبپذیریها ارائه نشده است لذا توصیه میشود در اسرع وقت نسبت به اعمال وصلههای منتشر شده اقدام نمایید. در جدول زیر جزییات بیشتری در خصوص آسیبپذیریهای وصله شده آورده شده است.
منبع:
شرکت F5 برای چند آسیبپذیری بحرانی موجود در محصولات BIG-IP بهروزرسانیهایی را منتشر کرده است؛ لذا توصیه میشود هرچه سریعتر به نصب نسخههایی که آسیبپذیریهای مذکور در آنها برطرف شده است اقدام شود. این آسیبپذیریهای بحرانی در نسخههای 11.6.5.3، 12.1.5.3، 13.1.3.6، 14.1.4، 15.1.2.1 و 16.0.1.1 محصول BIG-IP و در نسخههای 8.0.0، 7.1.0.3 و 7.0.0.2 محصول BIG-IQ برطرف شده است.
راهکارهای موقت کاهش مخاطرات ناشی بهرهبرداری از این آسیبپذیریهای بحرانی برای هر آسیبپذیری (در صورت وجود) به شرح زیر است:
https://support.f5.com/csp/article/K52510511
https://support.f5.com/csp/article/K18132488
https://support.f5.com/csp/article/K03009991
برای اطلاع از جزییات سایر راهکارهای موقت کاهشی این آسیبپذیری مانند تغییر پیکربندی صفحه ورود، حذف صفحات ورود و امنسازی وبسرور و شبکه به پیوند فوق مراجعه کنید.
جزییات آسیبپذیریها
مهمترین آسیبپذیریهای این بهروزرسانی، آسیبپذیریهای بحرانی CVE-2021-22987 و CVE-2021-22986 با شدت 9.9 و 9.8 است. آسیبپذیری CVE-2021-22986 برای مهاجم احراز هویت نشده که از طریق شبکه به رابط iControl REST دسترسی دارد، امکان اجرای دستورات دلخواه سیستمی، ایجاد یا حذف فایلها و غیرفعالسازی سرویسها را فراهم میکند. سیستمهای BIG-IP در حالت Appliance نیز آسیبپذیر هستند.
در جدول زیر اطلاعات مختصری از آسیبپذیریهای مهم این بهرروزرسانی آورده شده است.
منبع:
شرکت مایکروسافت در بهروزرسانی ماه مارس خود، بهروزرسانیهایی را برای 7 آسیبپذیری موجود در سرور DNS خود منتشر کرد؛ لذا توصیه میشود هرچه سریعتر نسبت به بهروزرسانی سیستمهای آسیبپذیر اقدام شود. با استفاده از بخش windows update در ویندوز، آسیبپذیریهای ویندوز به صورت خودکار بهروزرسانی میشود.
جهت اعمال بهروزرسانیها به صورت دستی، میتوان از جدول موجود در لینک زیر کلیه بهروزرسانیهای منتشر شده را به طور مجزا بارگیری و سپس نصب نمود:
https://msrc.microsoft.com/update-guide/vulnerability
این آسیبپذیریها محصولات زیر را تحت تاثیر خود قرار میدهند:
جهت محدود سازی اثرات حمله و کاهش بهرهبرداری از این آسیبپذیریها اقدامات زیر توصیه میگردد:
جزییات آسیبپذیریها
5 مورد از این آسیبپذیریها، آسیبپذیری اجرای کد از راه دور (RCE) با شدت 9.8 و دو مورد از آنها انکار سرویس (DoS) هستند. با توجه به شدت این آسیبپذیریها، مهاجم میتواند از راه دور یک سرور DNS را بدون نیاز به احرازهویت یا تعامل کاربری تحت کنترل خود گیرد. بهرهبرداری موفقیتآمیز از این آسیبپذیریها (CVE-2021-26897، CVE-2021-26877، CVE-2021-26893، CVE-2021-26894، CVE-2021-26895) منجر به اجرای کد از راه دور در یک سرور DNS معتبر خواهد شد. همچنین بهرهبرداری از آسیبپذیریهای CVE-2021-26896 و CVE-2021-27063، منجر به حملات انکار سرویس خواهد شد. جهت بهرهبرداری از این آسیبپذیریها، سرور باید role مربوط به DNS و Dynamic Update را فعال کرده باشد. (پیکربندی پیشفرض)
در جدول زیر اطلاعات مختصری از آسیبپذیریهای مورد بحث آورده شده است.
منابع:
https://t.co/rPXynT142f?amp=1
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/seven-windows-wonders-critical-vulnerabilities…
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-27063
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26896
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26895
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26894
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26893
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26897
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26877
گزارشی از خدمات ارائه شده توسط مرکز ماهر در سال 1399 که شامل 6444 مورد خدمت است در گرافهای زیر قابل مشاهده میباشد. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخشهای دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.
در تاریخ 16 اسفند ماه سال جاری هشداری در خصوص چند آسیبپذیری روز صفرم در Microsoft Exchange برای نسخههای 2013، 2016 و 2019 در پورتال مرکز ماهر https://cert.ir/news/entry/13189 منتشر شد. بهرهبرداری از این آسیبپذیری مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیلها و گسترده کردن دامنه نفوذ در سطح شبکه میکند. پس از انجام بهروزرسانی و اعمال وصلهها این نگرانی از طرف مدیران شبکه و امنیت سازمانها وجود داشت که قبل از اعمال این وصلهها آیا نفوذ و بهرهبرداری از این آسیبپذیریها بر روی سرور Microsoft Exchange خود صورت گرفته است و یا مهاجمین پس از نفوذ و بهرهبرداری، برای دسترسیهای بعدی خود، دربِپشتی در سرور ایجاد کردهاند. به منظور پاسخگویی به این سوالات، گزارشی توسط آپای تخصصی دانشگاه کردستان تهیه شده است که در آن روشهای مختلفی برای پویش سرور، رفع آسیبپذیریها و دسترسیهای احتمالی و کاهش مخاطرات آنها مورد بررسی قرار گرفته است. جهت مطالعه بیشتر در این خصوص اینجا کلیک نمایید.
شرکت سیسکو برای 12 آسیبپذیری موجود در محصولات خود بهروزرسانیهایی را منتشر کرده است که در این بین یک آسیبپذیری با شدت بالا و شناسه CVE-2021-1361 امکان ایجاد شرایط منع سرویس (DoS) را برای یک مهاجم احراز هویت نشده فراهم میکند. توصیه میشود در اسرع وقت نسبت به اعمال وصلههای منتشر شده اقدام نمایید.
در جدول زیر جزییات بیشتری در خصوص آسیبپذیریهای وصله شده و محصولات آسیبپذیر آورده شده است:
منبع:
https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&last_published=2021%20Ma…
شرکت مایکروسافت برای چهار زنجیرهی آسیبپذیری روزصفرم موجود در سرور Exchange نسخههای 2013، 2016 و 2019 که به طور فعال در حال بهرهبرداری است، بهروزرسانیهایی را منتشر کرده است؛ لذا توصیه میشود هرچه سریعتر جهت بهروزرسانی سیستمهای آسیبپذیر اقدام شود. با استفاده از بخش windows update در ویندوز، آسیبپذیریهای ویندوز به صورت خودکار بهروزرسانی میشود. جهت اعمال بهروزرسانیها به صورت دستی، میتوان از جدول موجود در لینک زیر کلیه بهروزرسانیهای منتشر شده را به طور مجزا بارگیری و سپس نصب نمود:
https://msrc.microsoft.com/update-guide/vulnerability
از آنجایی که برای شروع حمله، مهاجم نیاز به برقراری یک اتصال غیرقابل اعتماد با پورت 443 سرور Exchange دارد، درصورتیکه امکان وصله کردن سیستمهای آسیبپذیر وجود نداشته باشد، پیشنهاد میشود پورت ۴۴۳ برای سیستمهای آسیبپذیر مسدود شود یا با استفاده از VPN، سرور Exchange را ایزوله کرده و دسترسی خارج از شبکه به این پورت محدود شود تا از خطرات ناشی از بهرهبرداری از اولین آسیبپذیری این زنجیره، کاسته شود.
استفاده از روش کاهشی فوق تنها حمله اولیه را کاهش میدهد. اگر مهاجمی از قبل به سیستم قربانی دسترسی داشته باشد یا بتواند یک مدیر سیستم را فریب دهد تا یک فایل مخرب را بازگشایی کند، قسمتهای دیگر زنجیره حمله همچنان فعال خواهند بود.
جزییات آسیبپذیریها
مهاجم تنها با دانستن اینکه سرور هدف در حال اجرای Exchange است و بدون نیاز به احراز هویت، با بهرهبرداری از آسیبپذیری با شناسه CVE-2021-26855 که اولین آسیبپذیری در زنجیره است، قادر است ایمیلها و اطلاعات حساس را سرقت کند؛ در ادامه با بهرهبرداری از سه آسیبپذیری با شناسههای CVE-2021-26857، CVE-2021-26858 و CVE-2021-27065 امکان اجرای کد از راه دور بر روی سیستم آسیبپذیر برای مهاجم فراهم میشود. همانطور که گفته شد این آسیبپذیریها تحت بهرهبرداری فعال قرار داشته و در حملات محدود و هدفمند توسط گروه APT چینی به نام HAFNIUM برای سرقت ایمیلها و نفوذ به شبکه سازمان مورد استفاده قرار گرفته است.
علاوه بر چهار آسیبپذیری روز صفرم، مایکروسافت در این بهروزرسانی دو آسیبپذیری دیگر با شدت 9.1 را نیز وصله کرده است که بهرهبرداری از آن منجر به اجرای کد از راه دور توسط مهاجم میشود. در جدول زیر اطلاعات مختصری از آسیبپذیریهای مورد بحث آورده شده است.
منابع:
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange…