گزارشی از 332 مورد خدمت ارائه شده توسط مرکز ماهر در هفته چهارم آذر و هفته اول بهمن ماه (23 دی ماه الی 7 بهمن ماه 1399) در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.
 

سیسکو به‌روزرسانی امنیتی را برای رفع چندین آسیب‌پذیری در محصولات خود منتشر کرده است. نفوذگران از راه دور می‌توانند با اکسپلویت برخی از این آسیب‌پذیری‌ها کنترل سیستم‌های آسیب‌پذیر را در اختیار بگیرند. جهت مشاهده این به‌روزرسانی‌ها اینجا کلیک نمایید.

بنیاد نرم‌افزاری آپاچی، یک مشاوره امنیتی برای رفع ‫آسیب‌پذیری تأثیرگذار بر چندین نسخه ازApache Tomcat منتشر کرده است. مهاجمان می‌توانند از این آسیب‌پذیری بحرانی برای دستیابی به اطلاعات حساس استفاده کنند. علت اصلی این آسیب‌پذیری، رفتار غیر منتظره File JRE API می‌باشد که منجر می‌شود، در هنگام ارائه منابع از شبکه با استفاده از فایل سیستم NTFS نفوذگران بتوانند، محدودیت‌های امنیتی را دور زده و کد منبع JSP‌ها را مشاهده کنند.
نسخه‌های تحت‌تاثیر آسیب‌پذیری:

• نسخه 10.0.0-M1 تا 10.0.0-M9 از Apache Tomcat
• نسخه 9.0.0.M1 تا 9.0.39 از Apache Tomcat
• نسخه 8.5.0 تا 8.5.59 از Apache Tomcat
• نسخه 7.0.0 تا 7.0.106 از Apache Tomcat

کاربران نسخه‌های تحت تأثیر لازم است، یکی از موارد زیر را جهت پیش‌گیری از آسیب‌پذیری اعمال نمایند.

• به‌روزرسانی به نسخه 10.0.0-M10 یا بالاتر از Apache Tomcat
• به‌روزرسانی به نسخه 9.0.40 یا بالاتر از Apache Tomcat
• به‌روزرسانی به نسخه 8.5.60 یا بالاتر از Apache Tomcat
• به‌روزرسانی به نسخه 7.0.107 یا بالاتر از Apache Tomcat

منبع:

http://mail-archives.us.apache.org/mod_mbox/www-announce/202101.mbox/%3Cf3765f21-969d-7f21-e34a-efc…

مایکروسافت یک ‫آسیب‌پذیری روزصفر را در آنتی‌ویروس Defender رفع کرده است که قبل از انتشار این وصله، به صورت فعالانه‌ای، توسط هکرها مورد سوء استفاده قرار می‌گرفته است. این باگ که با شناسه CVE-2021-1647 پیگیری می‌شود، از نوع آسیب‌پذیری اجرای کد از راه دور است و در مولفه Malware Protection Engine (mpengine.dll) یافت شده است.
مایکروسافت اعلام کرده است که یک کد اثبات مفهوم (PoC) برای این آسیب‌پذیری روزصفر در دسترس است. البته این شرکت تاکید کرده است که ممکن است، اکسپلویت این آسیب‌پذیری در بیشتر سیستم‌ها امکان‌پذیر نباشد یا PoC در برخی از شرایط شکست بخورد.

آخرین نسخه تحت‌تأثیر این آسیب‌پذیری نسخه 1.1.17600.5 از Malware Protection Engine است و سیستم‌هایی که نسخه1.1.17700.4 یا نسخه‌های بالاتر از این موتور را اجرا می‌کنند، تحت‌تأثیر این آسیب‌پذیری نیستند‌.
مشتریان برای نصب به‌روزرسانی امنیتی CVE-2021-1647 نیاز به هیچ اقدامی ندارند، زیرا این به‌روزرسانی به‌طور خودکار روی سیستم‌های دارای نسخه‌های آسیب‌پذیر Microsoft Defender نصب می‌شود. با این وجود، توصیه می‌شود که کاربران این آنتی‌ویروس، نسخه سیستم خود را بررسی کرده و مطمئن شوند که نسخه 1.1.17700.4 یا نسخه‌های بالاتر از این موتور را اجرا می‌کنند.
منبع:

https://www.bleepingcomputer.com/news/security/microsoft-patches-defender-antivirus-zero-day-exploi…

گزارشی از 226 مورد خدمت ارائه شده توسط مرکز ماهر در هفته دوم و سوم آذر ماه (9 لغایت 23 دی ماه 1399) در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.
 

موزیلا برای رفع آسیب‌پذیری Firefox ،Firefox اندروید و Firefox ESR به‌روزرسانی‌های امنیتی منتشر کرده است. این آسیب‌پذیری که با شناسه CVE-2020-16044 پیگیری می‌شود، دارای درجه اهمیت بحرانی بوده و به نحوه‌ی برخورد Firefox با کوکی‌های مرورگر ارتباط دارد. آسیب‌پذیری در نسخه‌ 84.0.2 از Firefox، نسخه 78.6.1 از Firefox ESR و نسخه 84.1.3 از Firefox for Android رفع شده است. همچنین، گوگل نیز برای پلت‌فرم‌های ویندوز، Mac و لینوکس، مرورگر گوگل کروم نسخه پایدار 87.0.4280.141 را منتشر کرده است. در این نسخه 16 نقص امنیتی رفع شده است. در صورت اکسپلویت این آسیب‌پذیری‌ها مهاجم می‌تواند، کنترل سیستم آسیب‌پذیر را در اختیار بگیرد. برای رفع آن‌ها کافیست، نسخه مرورگر خود را به‌روزرسانی نمایید.

منبع:

https://www.mozilla.org/en-US/security/advisories/mfsa2021-01/
https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop.html

ضعف امنیتی ناشی از سرویس‌دهنده Smart install در تجهیزات Cisco که با شناسه‌های CVE-2018-0156 و CVE-2018-0171 پیگیری می‌شود، این امکان را برای کاربران راه دور فراهم کرده است که بدون احراز هویت در سوییچ‌های ‫سیسکو، این تجهیزات را به‌صورت مکرر Reload و حمله‌ انکار سرویس را در این شبکه‌ها پیاده‌سازی کند و یا کدهای دلخواه خود را از راه دور بر روی این تجهیزات اجرا نمایند. بررسی‌های مرکز ماهر نشان می‌دهد، این دو ‫آسیب‌پذیری که در سال‌ 1397 منتشر شده‌ است، در برخی از تجهیزات کشور کماکان مشاهده می‌شود. لذا توصیه می‌گردد، هرچه سریع‌تر به‌روزرسانی‌های امنیتی مرتبط با سیسکو IOS وIOS XE اعمال شود.
 

Zyxel وصله‌ای را برای رفع ‫آسیب‌پذیری مهمی در میان افزار خود منتشر کرده است. این آسیب‌پذیری در رابطه با یک حساب کاربری مخفی با دسترسی مدیریتی است که اکنون افشاء شده است و مهاجمان می‌توانند از این حساب کاربری برای ورود به سیستم و به خطر انداختن دستگاه‌های شبکه سوء‌استفاده نمایند. این نقص که با شناسه CVE-2020-29583 پیگیری می‌شود، طیف وسیعی از دستگاه‌های Zyxel، از جمله Unified Security Gateway (USG) ، USG FLEX ، ATP و فایروال‌های VPN را تحت تأثیر می‌گذارد. جدول زیر محصولات تحت تاثیر این آسیب‌پذیری را نمایش می‌دهد.
 

توصیه می‌شود، کاربران برای کاهش خطر مرتبط با این نقص، به‌روزرسانی‌های میان افزار را نصب کنند. همچنین انتظار می‌رود، این شرکت تایوانی با انتشار وصله V6.10 Patch1 که قرار است در آوریل سال 2021 منتشر شود، این مسئله را در کنترل کننده‌های Access Point (AP) خود حل کند.
منبع:

https://thehackernews.com/2021/01/secret-backdoor-account-found-in.html

اخیرا بدافزاری مبتنی بر زبان برنامه‌نویسی Go شناسایی شده است که از اوایل ماه دسامبر سال 2020 میلادی رو به گسترش است. این بدافزار برنامه استخراج کننده رمز ارز XMRig را جهت استخراج رمز ارز Monero برروی سرورهای ویندوزی و لینوکسی مستقر می‌نماید. بدافزار چند پلت‌فرمی مذکور، قابلیتی مشابه کرم‌های کامپیوتری دارد که امکان گسترش به سیستم‌های جدید را با استفاده از بروت-فورس سرویس‌های عمومی فراهم می‌آورد.
این بدافزار با اسکن و سپس بروت-فورس سرویس‌های عمومی مانند MYSQL، Tomcat، Jenkinsو WebLogic گسترش می‌یابد. همچنین نسخه‌های قدیمی این بدافزار قابلیت اکسپلویت آسیب‌پذیری با شناسه CVE-2020-14882 را که منجربه اجرای کد از راه دور در Oracle WebLogic می‌شوند، دارند. بدافزار بعد از تحت تاثیر قرار دادن یکی از سرورهای هدف، اسکریپت لودر خود (در لینوکسld.ps1 و در ویندوز ld.sh) را در سیستم هدف قرار می‌دهد. این اسکریپت جهت استقرار کد باینری کرم و ماینر XMRig در سیستم هدف مورد استفاده قرار می‌گیرد.
تا تاریخ 10 دی 1399طبق گزارش منتشر شده، امکان شناسایی کد باینری ELF کرم و اسکریپت مربوط به لودر بدافزار توسط VirusTotal وجود نداشته است. این موضوع نشان می‌دهد که خطر این بدافزار در سیستم‌های لینوکسی بسیار بیشتر است.
 

هکرهای پشتیبان این بدافزار به صورت فعال قابلیت‌های این بدافزار را از طریق سرور (C2) command-and-control به روزرسانی می‌نمایند. برای محافظت از سیستم‌ها در برابر این بدافزار لازم است:

• گذر‌واژه‌های پیچیده انتخاب شود، تعداد تلاش‌های ناموفق ورود به سیستم را محدود کرده و از روش‌های احراز هویت دو فاکتور استفاده شود.
• سرویس‌های با دسترسی عمومی غیر ضروری از دسترس خارج شود.
• نرم‌افزارهای به روز نگه داشته و وصله‌های لازم اعمال شود.

منبع:

https://www.bleepingcomputer.com/news/security/new-worm-turns-windows-linux-servers-into-monero-min…

گزارشی از 257 مورد خدمت ارائه شده توسط مرکز ماهر در هفته چهارم آذر ماه و هفته اول دی ماه (25 آذرلغایت8 دی ماه 1399) در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.