‫آسیب‌پذیری نوع RCE با شناسه CVE-2021-3129 و شدت خطرCVSS9.8 به مهاجم بدون احراز هویت این امکان را می‌دهد تا کد دلخواه خود را از راه دور اجرا نماید. این نقص بحرانی از نسخه های قدیمی تر 2.5.2 Ignition نشات می گیرد که یک Error page برای فریمورک Laravel می‌باشد و در صورت فعال بودن قابلیت Debug mode بر روی فریمورک، مهاجم می‌تواند به راحتی از آن سوء استفاده نماید. تصویر زیر نمایی از Error page آسیب پذیر در زمان فعال بودن قابلیت Debug mode را نشان می‌دهد.
 

نحوه تشخیص نسخه فریمورک مورد استفاده

• از طریق CLI

$ php artisan --version

• از طریق بررسی فایل به آدرس فایل

./vendor/laravel/framework/src/Illuminate/Foundation/Application.php

در پروژه laravel مربوطه

$ vim ./vendor/laravel/framework/src/Illuminate/Foundation/Application.php

نسخه‌های Laravel پایین تر از نسخه 8.4.2 و نسخه‌های Ignition پایین تر از نسخه 2.5.2 از نسخ آسیب‌پذیر است. آخرین وصله امنیتی به طور رسمی منتشر شده است. به مدیران مربوطه توصیه می‌شود که هرچه سریع‌تر فریمورک Laravel خود را به نسخه 8.4.3 و یا مولفه Façade Ignition خود را به نسخه بالاتر از 2.5.2 ارتقا دهند. همواره توصیه می‌شود که در حالت production قابلیت Debug mode غیرفعال باشد اما به منظور راه‌حل موقت (تا زمان نصب وصله امنیتی) اگر debug mode فعال است توصیه می‌شود که غیرفعال شود.

منبع:

https://nvd.nist.gov/vuln/detail/CVE-2021-3129

به طور کلی در کشور بیش از ۲۰۰۰ IP آدرس وجود دارد که نسبت به یک نقص امنیتی خطرناک در Client vSphere آسیب‌پذیر هستند. با توجه اینکه در حال حاضر مهاجمان در حال پویش گسترده برای یافتن سیستم‌های آسیب‌پذیر و حمله به آنها می‌باشند (در حال حاضر بهره‌برداری از این #‫آسیب‌پذیری توسط برخی باج‌افزارها مشاهده شده است) و اینکه اغلب نسخه‌های نصب شده در ایران کرک بوده و امکان وصله شدن سریع وجود ندارد؛ لذا پیشنهاد می‌شود هر پورت ۴۴۳ برای IPهای آسیب‌پذیر مسدود شود. همچنین جداسازی رابط‌های vCenter Server از محیط سازمان و قرار دادن آنها در یک VLAN جداگانه با دسترسی محدود در شبکه داخلی، نیز پیشنهاد می‌شود.
در جدول زیر آسیب‌پذیری‌های محصولات VMware و نسخه وصله شده در این به‌روزرسانی آورده شده است.
 

برای وصله کردن آسیب‌پذیری مربوط به محصول ESXi و با توجه به اینکه آسیب‌پذیری مربوط به پروتکل OpenSLP است، VMware پیشنهاد می‌کند که در صورت عدم استفاده از OpenSLP نسبت به غیرفعال کردن آن از طریق راهنمای زیر اقدام کنید (لازم به ذکر است که با این کار کلاینت‌های CIM که از پروتکل SLP برای یافتن سرورهای CIM از طریق پورت 427 استفاده می‌کنند، امکان یافتن سرورها را نخواهند داشت):

https://kb.vmware.com/s/article/76372

همان طور که پیش‌تر گفته شد شرکت VMware از وجود یک آسیب‌پذیری بحرانی از نوع اجرای کد از راه دور در پلتفرم مدیریت زیرساخت مجازی سرور vCenter خبر داده است که به مهاجمان امکان می‌دهد سیستم‌های آسیب‌پذیر را تحت کنترل خود گیرند. این آسیب‌پذیری به طور دقیق‌تر مربوط به vSphere Client (HTML5) و در افزونه‌ی vCenter Server وجود دارد. سرور vCenter به مدیران IT کمک می‌کند تا هاست‌ها و ماشین‌های مجازی شده را در محیط‌های تجاری از طریق یک کنسول واحد مدیریت کنند. این آسیب‌پذیری با شناسه CVE-2021-21972 بحرانی بوده و دارای شدت 9.8 می‌باشد. لازم به ذکر است که افزونه‌ی vCenter Server به‌طور پیش‌فرض در vRealize Operations (vROps) نصب می‌باشد.
مهاجم با دسترسی به شبکه و پورت 443 امکان بهره‌برداری از این نقض امنیتی و اجرای دستور از راه دور با مجوزهای نامحدود در سیستم‌عامل اصلی که میزبان vCenter Server است، را خواهد داشت. افزونه‌ی vCenter Server تحت تاثیر یک آسیب‌پذیری دیگر با شناسه CVE-2021-21973 نیز می‌باشد که شدت کمتری (5.3) دارد. برای مطالعه بیشتر در خصوص این آسیب‌پذیری‌ها اینجا کلیک نمایید.
منابع خبر:

https://www.vmware.com/security/advisories/VMSA-2021-0002.html
https://thehackernews.com/2021/02/critical-rce-flaw-affects-vmware.html

نسخه‌ی جدید مرورگر فایرفاکس (Mozilla Firefox 86) که در تاریخ پنجم اسفند ماه 1399 منتشر شده است با وصله شدن برخی آسیب‌پذیری‌ های امنیتی و ارائه برخی ویژگی‌های جدید جهت بهبود حریم خصوصی، همراه بوده است. به عنوان مثال در آسیب‌پذیری‌های CVE-2021-23978 و CVE-2021-23979 به دلیل وجود ایراداتی در امنیت حافظه، مهاجم امکان اجرای کد دلخواه بر روی سیستم‌هایی که از نسخه وصله نشده‌ی فایرفاکس استفاده می‌کنند را خواهد داشت.
در این بین سه آسیب‌پذیری با شدت بالا وصله شده است که به شرح زیر است: (فایرفاکس تاکنون جزییات بیشتری از آسیب‌پذیری‌های مورد بحث منتشر نکرده است).
CVE-2021-23968: این آسیب‌پذیری به نقض سیاست امنیت محتوا (CSP) مربوط می‌شود. اگر سیاست امنیت محتوا پیمایش frame را مسدود کند، آدرس کامل مقصد redirectی که در frame انجام شده، برخلاف URI اصلی frame، در گزارش تخلف ثبت می‌شود. این عملیات می‌تواند منجر به نشت اطلاعات حساسی که در این URIها وجود دارد، شود.
CVE-2021-23969: این آسیب‌پذیری به نقض پیش‌نویس سیاست امنیت محتوا W3C مربوط می‌شود که در آن، در برخی انواع redirect، فایرفاکس به اشتباه فایل منبع را به‌عنوان مقصد redirectها قرار داده است.
CVE-2021-23970: این آسیب‌پذیری ناشی از شروع به کار برخی assertionها در یک کد چندنخی WASM (WebAssembly) است.
تعداد چهار آسیب‌پذیری با شدت متوسط و سه آسیب‌پذیری با شدت پایین نیز در این نسخه جدید وصله شده است. توصیه می‌گردد در اسرع وقت به به‌روزرسانی این مرورگر اقدام نمایید.
منابع:

https://www.mozilla.org/en-US/security/advisories/mfsa2021-07
https://www.bleepingcomputer.com/news/software/firefox-86-gets-a-privacy-boost-with-total-cookie-pr…

گزارشی از 269 مورد خدمت ارائه شده توسط مرکز ماهر در هفته آخر بهمن و هفته اول اسفند (21 بهمن الی 5 اسفند ماه 1399) در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.

با توجه به تحقیقات و گزارش مراکز آپای تخصصی دانشگاه بجنورد و دانشگاه بوعلی سینا (همدان) برخی ضعف‌های امنیتی در پروتکلی استاندارد IPMI یا Intelligent Platform Management Interface بررسی شده است که این ضعف‌ها در جهت کنترل و نظارت زیرساخت‌های درون شبکه‌ای همچون سرورها و Gateway ها استفاده می‌شوند. این ضعف‌ها شامل امکان احراز هویت به صورت ناشناس، آسیب پذیر به cipher zero، امکان احراز هویت بر اساس نام و رمزعبور پیش فرض و امکان بازیابی هش رمزهای عبور است. برای مطالعه بیشتر اینجا کلیک نمایید.

با توجه به بررسی‌های مرکز ماهر و گزارش مرکز آپای تخصصی دانشگاه بجنورد، نشان می‌دهد، آمار رخداد حملات #‫باج_افزار ی از طریق نفوذ به پروتکل‌ها و ابزارهای دسترسی از راه دور، رو به افزایش است. این افزایش به طور مشهود به دلیل آن است که شرکت‌های پشتیبان محصولات نرم‌افزاری که برای پردازش تاریخ‌های پس از 1/1/1400 نیازمند به روزرسانی محصولات نصب شده در محل مشتریان دولتی و خصوصی می‌باشند، عموما این خدمت را از راه دور عرضه می‌نمایند. رخداد حمله باج افزاری با استفاده از رخنه به پروتکل‌ها و ابزارهای دسترسی از راه دور از گذشته امری معمول بوده است. این نفوذ به سه طریق ذیل اتفاق می‌افتد:

- سادگی رمز عبور، عدم تنظیم محدودیت در تعداد دفعات مجاز برای تلاش ناموفق ورود رمز و سایر کاستی‌ها در تنظیمات
- وجود آسیب پذیری در پروتکل‌ها و ابزارهای دسترسی از راه دور
- وجود بدافزار سرقت اطلاعات و جاسوسی بر روی کامپیوتری که با آن دسترسی راه دور برقرار می‌شود (و نه الزاما سرور قربانی)

برای مقابله با این مخاطرات می‌توان به هشدارها و راهکارهایی که به طور مکرر مرکز ماهر و سایر متولیان امر منتشر نموده اند مراجعه نمود اما به اختصار فهرست زیر اهم موارد را ارائه می‌کند.

• عدم استفاده از دسترسی راه دور به‌ویژه بر بستر اینترنت تا جای ممکن
• تهیه منظم نسخ پشتیبان، مخصوصا قبل از ارایه دسترسی راه دور و توجه ویژه به این نکته که قرار دادن نسخه‌ای از اطلاعات پشتیبان بر روی رسانه‌ای که به صورت برخط در دسترس است یا عدم آزمایش صحت نسخه پشتیبان تهیه شده ابدا پشتیبان گیری به حساب نمی‌آید.
• به‌روز‌رسانی منظم پروتکل‌ها و ابزارهای دسترسی از راه دور و عدم استفاده از نسخ قدیمی سیستم‌عامل‌هایی که آسیب‌پذیری‌های شناخته شده دارند ولی پشتیبانی و به روز رسانی آنها متوقف شده است. همچنین دقت در به روز و فعال بودن آنتی ویروس
• انجام تنظیمات امنیتی لازم برای دسترسی از راه دور بر روی سرور از جمله تنظیم عدم قبول قرار دادن رمز عبور ساده یا تکراری و همچنین اجبار به تغییر دوره ای رمز عبور در بازه های زمانی معقول، انجام دادن تنظیم محدودیت در تعداد، محدود کردن تعداد دفعات مجاز برای تلاش ناموفق ورود
• محدود کردن ساعت دسترسی راه دور به ساعات معمول یا اداری.
• محدود کردن کاربران مجاز به دسترسی راه دور و محدود کردن دسترسی ایشان به منابع مورد نیاز و استفاده از احراز هویت دومرحله‌ای و VPN در پروتکل‌ها و ابزارهای دسترسی از راه دور
• محدود کردن دسترسی به پورت‌های مورد استفاده برای پروتکل‌ها و ابزارهای دسترسی از راه دور به آدرس‌های مشخص از طریق لیست‌های کنترل دسترسی در فایروالها و ابزارهای امنیتی
• غیر فعال کردن امکانات، پروتکل‌ها و ابزارهای دسترسی از راه دور به محض اتمام نیاز
• نظارت مستمر بر دسترسی راه دور مخصوصا در زمان برقراری ارتباط
• دقت مضاعف در به روز و فعال بودن آنتی‌ویروس در سیستم مبدا دسترسی راه دور، همچنین دقت در عدم به کار گیری ماشین‌هایی با گذشته کاربرد نامعلوم (مثلا رایانه‌های دم دستی مورد استفاده برای گشت و گذار در وب یا در معرض اتصال مکرر حافظه‌های جانبی مشکوک)
• تشریح و تبیین دقیق مسولیت و وظایف امنیتی برای کسانی که از راه دور برای ارایه خدمت متصل می‌شوند.
• کمک گرفتن از تیم های امداد سایبری در صورت مشاهده هرنوع فعالیت مشکوک

شرکت Adobe برای 50 آسیب‌پذیری موجود در محصولات خود از جمله یک آسیب‌پذیری روز صفرم در Adobe Reader که پیش از کشف مهاجمان در حال بهره‌برداری از آن بوده‌اند، وصله امنیتی منتشر کرده است. این آسیب‌پذیری با شناسه CVE-2021-21017 که یک سرزیر بافر مبتنی بر حافظه heap است، به طور خاص کاربران سیستم‌عامل ویندوز را هدف قرار داده است. برای مطالعه لیست بروزرسانی‌ها اینجا کلیک نمایید.

گزارشی از 258 مورد خدمت ارائه شده توسط مرکز ماهر در هفته دوم و سوم بهمن ماه (8 الی 21 بهمن ماه 1399) در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.

افزونه‌ی وردپرسی NextGen Gallery که در 800 هزار وبسایت وردپرسی نصب شده است، امکان آپلود فایل به صورت دسته‌ای، وارد کردن فراداده (metadata) و ویرایش thumbnailها را فراهم می‌کند. اخیراً محققان امنیتی در Wordfence از وجود دو آسیب‌پذیری بحرانی و شدت بالا از نوع CSRF در این افزونه خبر دادند. به‌روزرسانی افزونه مورد بحث که در آن دو آسیب‌پذیری مذکور وصله شده است در تاریخ 26 آذر ماه منتشر و جزییات فنی آن در تاریخ 20 بهمن ماه منتشر شده است. توصیه می‌گردد مدیران سایت وردپرسی که از این افزونه استفاده می‌کنند هر چه سریع‌تر به به‌روزرسانی آن به نسخه 3.5.0 اقدام کنند.
بهره‌برداری از این آسیب‌پذیری‌ها می‌تواند منجر به تهدیدات مختلفی مانند تصاحب سایت توسط مهاجم، redirectهای مخرب، فیشینگ و بسیاری دیگر شود.
آسیب‌پذیری بحرانی با شناسه CVE-2020-35942 و شدت 9.8 از نوع CSRF در این افزونه و به طور دقیق‌تر در تابع is_authorized_request وجود دارد که برای بهره‌برداری از آن مهاجم باید با روش‌های مهندسی اجتماعی مدیر سایت را برای کلیک بر روی یک پیوند فریب دهد. آسیب‌پذیری مشابه دیگری با شناسه CVE-2020-35943 و شدت 8.8 در این افزونه و به طور دقیق‌تر در تابع validate_ajax_request وجود دارد که برای بهره‌برداری از آن مجدداً مدیر سایت باید بر روی یک پیوند کلیک کند و بدین طریق موجب ارسال درخواست آپلود یک فایل تصویری مخرب شود. این فایل تصویری که به ظاهر معتبر است می‌تواند حاوی کدهای اجرایی PHP یا وب شل باشد.
منبع:

https://www.wordfence.com/blog/2021/02/severe-vulnerabilities-patched-in-nextgen-gallery-affect-ove…

شرکت سیسکو برای چندین آسیب‌پذیری بحرانی موجود در روترهای web-based management interface of Small Business سری RV160 ، RV160W، RV260 ، RV260P و RV260W VPN نسخه‌های پیش از 1.0.01.02 به‌روزرسانی‌هایی را منتشر کرده است. این آسیب‌پذیری‌ها به یک مهاجم غیرمجاز از راه دور امکان می‌دهد، کد دلخواه را با دسترسی root در دستگاه آسیب‌پذیر اجرا نماید. همچنین وصله هایی برای آسیب‌پذیری نوشتن فایل اختیاری (Arbitrary File Write) که بر همان مجموعه از روترهای VPN تأثیر می‌گذارد و می‌تواند منجر به overwrite شدن فایل‌های دلخواه گردد را منتشر کرده است. برای مطالعه لیست آسیب‌پذیری‌ها اینجا کلیک نمایید.