مایکروسافت در به‌روزرسانی‌ ماه نوامبر 112 ‫آسیب‌پذیری‌ را در چندین محصولات خود رفع کرده است. 24 مورد از این آسیب‌پذیری‌ها از نوع اجرای کد از راه دور بودند که محصولات مختلف از جمله Excel، Microsoft Sharepoint، Microsoft Exchange Server، Windows Network File System،Windows GDI+ component، Windows printing spooler service وMicrosoft Teams را تحت تاثیر قرار می‌دهند. در بین آن‌ها، برای آسیب‌پذیری روز صفر ویندوز با شناسه CVE-2020-17087 نیز وصله منتشر شده است. این آسیب‌پذیری که مرکز ماهر پیش‌تر در مورد آن هشدار داده بود به همراه یک آسیب‌پذیری از گوگل کروم با شناسه CVE-2020-15999 اکسپلویت می‌شد. سایت securityaffairs.co از اکسپلویت گسترده این آسیب‌پذیری پس از انتشار وصله برای آن خبر داده است. لذا توصیه می‌‌شود، کاربران محصولات تحت تاثیر این آسیب‌پذیری (تمامی نسخه‌های ویندوز بین ویندوز ۷ و ویندوز ۱۰) هرچه سریع‌تر نسبت به به‌روزرسانی اقدام نمایند. برای مطالعه لیستی از آسیب‌پذیری‌های رفع شده در به‌روزرسانی اخیر مایکروسافت اینجا کلیک کنید.

جزئیاتی از 180 مورد خدمات مرکز ماهر از جمله فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده خدمات و نحوه مطلع شدن مرکز از رخدادها در هفته سوم آبان ماه (13 لغایت 19 آبان ماه) در گراف‌های زیر قابل مشاهده است. گزارشات عملکرد این مرکز من بعد به صورت هفتگی و منظم در پورتال مرکز ماهر ارائه خواهد شد. از دریافت پیشنهادات و نظرات کارشناسان محترم این حوزه از طریق ایمیل report@cert.ir استقبال و تشکر می‌شود.
 

سیسکو در هفته گذشته چندین ‫آسیب‌پذیری را در محصولات مختلف خود رفع کرده است. نفوذگران با اکسپلویت برخی از این آسیب‌پذیری‌ها می توانند کنترل سیستم آسیب‌پذیر را در اختیار بگیرند. جهت دریافت لیست محصولات و آسیب‌پذیری‌ها اینجا کلیک کنید.

گوگل نسخه 86.0.4240.183 از گوگل کروم را برای ویندوز،Mac و لینوکس جهت رفع چندین #‫آسیب‌پذیری ازجمله آسیب‌پذیریCVE-2020-16009 که به صورت گسترده اکسپلویت می‌شود، منتشر کرده است. در این به‌روزرسانی گوگل 6 آسیب‌پذیری با درجه اهمیت بالای دیگر را نیز به‌روزرسانی کرده است.
لیست آسیب‌پذیری‌های رفع شده در نسخه جدید گوگل کروم:

• CVE-2020-16009
• CVE-2020-16004
• CVE-2020-16005
• CVE-2020-16006
• CVE-2020-16007
• CVE-2020-16008
• CVE-2020-16011

بعلاوه گوگل نسخه 86.0.4240.185 از گوگل کروم اندروید را جهت رفع آسیب‌پذیری سرریز بافر با شناسه CVE-2020-16010 منتشر کرده است.
توصیه می‌شود کاربران گوگل کروم به صورت دستی نسخه کروم خود را چک کرده و از به روز بودن آن اطمینان حاصل نماییند.

منبع:

https://chromereleases.googleblog.com

محققان امنیتی گوگل، یک آسیب‌پذیری روز صفر را در سیستم‌عامل ویندوز که در حال حاضر به صورت گسترده اکسپلویت می‌شود، افشاء کرده‌اند. مایکروسافت هنوز وصله‌ای برای این آسیب‌پذیری منتشر نکرده است. براساس گفته Ben Hawkes، مدیر تیم تحقیقات آسیب‌پذیری گوگل (Project Zero)، انتظار می‌رود تا در 10ام ماه نوامبر سال جاری میلادی برای این آسیب‌پذیری وصله‌ای ارائه شود.
این حمله، یک حمله دو جانبه است که با آسیب‌پذیری روز صفر گوگل کروم شروع می‌شود. آسیب‌پذیری گوگل کروم به هکرها اجازه اجرای کد داخل کروم را می دهد. سپس آسیب‌پذیری روز صفر ویندوز در بخش دوم حمله به مهاجمان امکان دور زدن container امن کروم را می‌دهد تا بتوانند کد خود را در سیستم‌عامل اجرا کنند. متخصصان امنیت این اتفاق را فرار از سندباکس (sandbox escape) می‌نامند.
تیم Project Zero گوگل در هفته گذشته این آسیب‌پذیری را به مایکروسافت اطلاع داده و هفت روز به این شرکت مهلت داد تا این باگ را وصله کند. در نهایت این تیم پس از اتمام زمان اختصاص داده شده، درحالی که هنوز مایکروسافت وصله‌‌ای را ارائه نکرده بود، جزئیات این آسیب‌پذیری را منتشر کرد.
طبق گزارش گوگل، آسیب‌پذیری روز صفر یک باگ در هسته ویندوز است که می‌تواند برای ارتقاء مجوز دسترسی مورد استفاده قرار گیرد. براساس گزارش، آسیب‌پذیری مذکور تمامی نسخه‌های ویندوز بین ویندوز ۷ و ویندوز ۱۰ را تحت‌تاثیر قرار می‌دهد.
Hawkes جزئیاتی درباره این که چه کسانی از این دو آسیب‌پذیری روز صفر استفاده می‌کنند، ارائه نکرده است. با این وجود، اغلب آسب‌پذیری‌های روز صفر توسط گروه‌های هکر تحت حمایت دولت‌ها یا گروه‌های تروریستی بزرگ کشف و مورد سواستفاده قرار می‌گیرند. این حملات توسط دیگر تیم امنیتی گوگل، تیم تحلیل تهدید گوگل (TAG) نیز تایید شده است. آسیب‌پذیری روز صفر کروم در نسخه 86.0.4240.111 وصله شده است که پیش از این مرکز ماهر آن را اطلاع رسانی کرده بود.
این دومین بار است که گوگل یک حمله بر اساس دو آسیب‌پذیری را فاش می‌کند که شامل آسیب‌پذیری روز صفر ویندوز و کروم است. پیش از این گوگل در مارس ۲۰۱۹ اظهار داشته بود که مهاجمان یک آسیب‌پذیری روز صفر کروم (CVE-2019-5786) را با آسیب‌پذیری روز صفر ویندوز (CVE-2019-0808) ترکیب کرده‌اند.
با توجه به اینکه مایکروسافت هنوز وصله‌ای برای این آسیب‌پذیری منتشر نکرده است، توصیه می‌شود که کاربران عزیز برای پیش‌گیری از این حمله گسترده از به‌روز بودن مرورگر گوگل کروم خود اطمینان حاصل نمایند. انتشار وصله برای آسیب‌پذیری ویندوز، از طریق پورتال مرکز ماهر به اطلاع خواهد رسید.

منبع:

https://www.zdnet.com/article/google-discloses-windows-zero-day-exploited-in-the-wild/

وردپرس با انتشار نسخه 5.5.2 خود 10 مورد آسیب‌پذیری با شدت اهمیت بالا را به‌روزرسانی کرد. یکی از این آسیب‌پذیری‌ها به مهاجم احراز هویت نشده راه دور این امکان را می‌دهد که با حمله منع سرویس کنترل وب‌سایت را در دست گیرد. وردپرس در این به‌روزرسانی 10 باگ امنیتی را رفع کرده و ویژگی‌های پلت‌فرم را بهبود داده است. بنا به گفته‌ وردپرس این نسخه، یک نسخه پایدار و کوتاه‌ مدت امنیتی است و با انتشار نسخه 5.6 تمامی نسخه‌های بعد از نسخه 3.7 به‌روزرسانی خواهد شد.
یک مورد از این 10 آسیب‌پذیری که توسط وردپرس به‌روزرسانی شده است، یک ضعف برجسته با شدت اهمیت بالا است که اکسپلویت آن به مهاجم احراز هویت نشده، اجازه اجرای کد از راه دور را در سیستم میزبان وبسایت آسیب‌پذیر می‌دهد. دلیل اصلی این آسیب‌پذیری عدم مدیریت کامل منابع داخلی در برنامه است که منجر به تبدیل حمله منع سرویس به اجرای کد از راه دور می‌شود.
براساس گفته‌های Ganiev (محققی که این آسیب‌پذیری را کشف کرده است) علی‌رغم اینکه، تأثیر این آسیب‌پذیری بالا است اما به دلیل پیچیدگی احتمال انجام این حمله در سطح گسترده کم است و حتی زمانی که شرایط حمله مهیا است، بایستی بتوان حمله منع سرویس دقیقی را پیاده‌سازی کرد.
این آسیب‌پذیری سه سال پیش کشف ‌شده بود اما در جولای سال 2019 میلادی به وردپرس گزارش شده است. Ganiev دلیل این تأخیر در گزارش آسیب‌پذیری را ارائه کدهای اثبات (proof-of-concep) اکسپلویت مختلف عنوان کرده است. توجه به این نکته مهم است که نه وردپرس و نهGaniev اعتقادی به اکسپلویت گسترده این آسیب‌پذیری ندارند.
چهار مورد از این آسیب‌پذیری‌ها رفع شده در به‌روزرسانی اخیر، دارای شدت متوسط هستند که سه مورد از آن‌ها می‌تواند توسط کاربر احراز هویت نشده و از طریق اینترنت اکسپلویت شوند و در یک مورد نیاز است تا کاربر احراز هویت شده باشد. یکی از این آسیب‌پذیری ها دارای شدت متوسط از نوع تزریق اسکریپت است که به‌طور بالقوه بسیار خطرناک می‌باشد. حمله موفق به این آسیب‌پذیری به مهاجم از راه دور اجازه دسترسی به اطلاعات حساس، تغییر ظاهر صفحه وب‌سایت، انجام فیشینگ و انجام حملات drive-by-download را می‌دهد.

منبع:

https://threatpost.com/wordpress-patches-rce-bug/160812/

‫آسیب‌پذیری در محصول Oracle WebLogic Server از Oracle Fusion Middleware که با شناسه CVE-2020-14882 معرفی شده و براساس CvssV3 شدت امتیاز 9.8 دارد، نسخه‌های10.3.6.0.0 ،12.1.3.0.0 12.2.1.3.0،12.2.1.4.0 و 14.1.1.0.0از این محصول را تحت تاثیر قرار میدهد. این آسیب‌پذیری که اکسپلویت آن بسیار ساده است به کاربر احراز هویت نشده که دارای دسترسی شبکه است اجازه می‌دهد Oracle WebLogic Server را از طریق پروتکل HTTP تهدید کند. حمله موفق به این آسیب‌پذیری موجب کنترل Oracle WebLogic Server خواهد شد.
علی رغم اینکه، تاکنون شواهدی از وجود کد اکسپلویت عمومی برای این آسیب‌پذیری وجود ندارد اما شواهدی از اکسپلویت این آسیب‌پذیری وجود دارد. بنابراین توصیه می‌شود، کاربران این محصول هرچه سریع‌تر نسبت به به‌روزرسانی محصول خود اقدام نمایند.
منبع:

https://nvd.nist.gov/vuln/detail/CVE-2020-14882

پلاگین محبوب امنیتی Loginizer WordPress ‫آسیب‌پذیری با شناسه CVE-2020-27615 را رفع کرده است که بیش از یک میلیون سایت را تحت تاثیر قرار می‌دهد. این آسیب‌پذیری که نسخه‌‌های پیش از نسخه 1.6.4 پلاگین را تحت تاثیر قرار می‌دهد اجازه تزریق SQL و حمله XSS را به مهاجم راه دور می دهد.
مهاجم احراز هویت نشده در صورتی که موفق به تزریقSQL شود، می‌تواند داده‌های پایگاه‌داده را تغییر دهد. حمله استفاده شده علیه این افزونه که با عنوان تزریق Blind SQL شناخته می‌شود با واردکردن داده‌هایی به بخش ورودی باهدف دریافت پاسخ خطا انجام می‌گیرد. که در این افزونه داده ورودی آسیب‌پذیر "username" است.
مسئله Loginizer به تزریق SQL محدود نمی‌شود و اکسپلویت دوم منجر به XSS stored می‌شود. در این حمله مهاجم معمولاً می تواند به‌صورت مستقیم فایل‌های آلوده را تزریق کرده و سایت WordPress یا اطلاعات هویتی کاربر را در اختیار بگیرد.
WordPress به‌روزرسانی اجباری را فعال کرده است. اکثر سایت‌هایی که از این پلاگین استفاده می‌کنند (تقریباً 89 درصد) بایستی پلاگین خودشان را با موفقیت به‌روزرسانی کرده باشند.
توصیه می‌شود که همه ناشران WordPress که از پلاگین امنیتی Loginizer استفاده می‌کنند، نسخه پلاگین خود را بررسی کرده و در صورت نیاز، به‌روزرسانی‌های لازم را انجام دهند.
منبع:

https://wordpress.org/plugins/loginizer/

بر اساس گزارش تیم Imperva، بات‌نت KashmirBlack به طور گسترده پلت فرم های مدیریت محتوای پرکاربرد را آلوده می کند. این ‫بات‌نت با سوءاستفاده از چندین ‫آسیب‌پذیری شناخته شده بر روی سرور قربانی، بطور میانگین میلیون ها حمله را هر روزه و بر روی چندین هزار قربانی در بیش از 30 کشور انجام می دهد.
در این گزارش محققان Imperva پیاده سازی و سیر تکامل این بات نت خطرناک را از ماه نوامبر 2019 تا پایان ماه می 2020 میلادی بررسی کرده اند. در این تحقیق چگونگی استفاده بات نت از سرویس های ابری همچون Github، Pastebin و Dropbox به منظور کنترل و مخفی کردن عملیات بات نت و چگونگی نفوذ آن به ماینر ارزهای دیجیتالی و deface یک سایت گفته شده است. برای مطالعه در خصوص نشانه های حمله اینجا کلیک کنید.

در هفته گذشته شرکت سیسکو چندین به‌‌روزرسانی‌ را در راستای رفع ‫آسیب‌پذیری ‌های محصولات خود ارائه کرده است. مهاجمان می‌توانند، برخی از این آسیب‌پذیری‌ها را از راه دور اکسپلویت کرده و کنترل سیستم‌های آسیب‌پذیر را به دست بگیرند. در پیوست لیست محصولات Cisco که برای آنها به‌روزرسانی ارائه شده، به همراه نوع آسیب‌پذیری‌ها آنها آورده شده است. توصیه می‌شود کاربران محصولات آسیب‌پذیر با مراجعه به سایت سیسکو محصول خود را به‌روزرسانی نمایند.