شرکت موزیلا به تازگی باگی (Bug) را در مرورگر فایرفاکس رفع کرده‌ است که سوءاستفاده از این ‫باگ موجب می‌شود تا کنترل تمام مرورگرهای فایرفاکس ‫اندروید موجود در یک شبکه وای‌فای را در دست گرفته و کاربران را وادار به دسترسی به سایت‌های مخرب از جمله سایت‌های فیشینگ کرد. این آسیب‌پذیری توسط Chris Moberly که در GitLab کار می‌کند، شناسایی شده‌ است.
در واقع، مولفه Simple Service Discovery Protocol فایرفاکس که به اختصار SSDP نامیده می‌شود، آسیب‌پذیر است. SSDP مکانیزمی است که فایرفاکس برای شناسایی دیگر دستگاه‌های موجود در شبکه جهت اشتراک و دریافت محتوا (برای مثال اشتراک ویدئو با دستگاه Roku) استفاده می‌کند. زمانی که مکان دستگاه شناسایی شد، مولفهSSDP فایرفاکس مکان فایل XML را که پیکربندی دستگاه در آن قرار دارد، دریافت می‌کند.
Moberly نشان داد که در نسخه‌های پیشین فایرفاکس می‌توان دستورات Intent اندروید را در این فایل XML مخفی کرد و مرورگر فایرفاکس را وادار به اجرای این دستورات Intent نمود.
دستورات Intent پیغام‌هایی هستند که به واسطه آن‌ها از سیستم تقاضای انجام کار یا عملیات خاصی می‌شود. با استفاده از آبجکت intent می‌توان بین کامپوننت‌های مختلف یک برنامه‌کاربری و حتی کامپوننت‌های نرم‌افزاری دیگر برنامه‌های کاربردی تعامل برقرار کرده و اطلاعات رد و بدل نمود. برای مثال، یک Activity می‌تواند Activity دیگر را جهت عکس گرفتن اجرا کند یا به فایرفاکس بگوید که وارد لینک مشخصی شود.
آسیب‌پذیری شرح داده شده در نسخه 79 از فایرفاکس رفع شده است. بنابراین به تمام کاربرانی که از مرورگر فایرفاکس در سیستم‌عامل اندروید استفاده می‌کنند، توصیه می‌شود که مرورگر خود را به آخرین نسخه موجود به‌روزرسانی نمایند.

منابع:

[1] https://www.zdnet.com/article/firefox-bug-lets-you-hijack-nearby-mobile-browsers-via-wifi/
[2]https://www.terabitweb.com/2020/09/19/firefox-android-wifi-hacking-html/

سیستم مدیریت محتوا دروپال (Drupal) به روزرسانی امنیتی را برای رفع چندین ‫آسیب‌پذیری مختلف در نسخه های x.7، x.8.8، x.8.9 و x.9.0 منتشر کرده است. نفوذگران با بهره برداری از این آسیب پذیری ها می‌توانند اطلاعات حساسی را کسب کرده یا حمله تزریق کد (Cross-site scripting) انجام دهند. جهت مطالعه لیست آسیب‌پذیری‌های بروز شده و راه کارهای مقابله با آن‌ها اینجا کلیک کنید.
 

اخیراً شرکت سامسونگ برای رفع برخی ‫آسیب‌پذیری‌های بحرانی موجود در تلفن‌های همراه خود، بروزرسانی‌های امنیتی منتشر کرد. این بروزرسانی‌های امنیتی شامل تعداد زیادی وصله امنیتی می‌باشد که همه آسیب‌پذیری‌های مهم در بسیاری از نسخه‌های سیستم‌عامل‌ Android را برطرف می‌کند. با این حال، بروزرسانی امنیتی منتشر شده در سپتامبر سال 2020، شامل تلفن همراه مدل (SM-N960F(Galaxy Note 9 نیز خواهد شد. جهت مطالعه بیشتر اینجا کلیک کنید.

طبق تحقیقات صورت گرفته، هکرها در حال بهره‌برداری گسترده از ‫آسیب‌پذیری ارتقای مجوز دسترسی (elevation of privilege) با شناسهCVE-2020-1472 در Netlogon مایکروسافت می‌باشند. این در حالی است که مایکروسافت وصله این محصول را در ماه اگوست سال 2020 میلادی منتشر کرده‌است. هکرها با بهره‌برداری از این آسییب‌پذیری در سیستم‌هایی که هنوز به‌روزرسانی نشده‌اند، دسترسی Administrator دامنه را به دست می‌آوردند.

Netlogonاز تمام کاربران درخواست می‌شود تا با مراجعه به سایت مایکروسافت سیستم خود را به‌روزرسانی نمایند.

https://www.tenable.com/blog/cve-2020-1472-zerologon-vulnerability-in-netlogon-could-allow-attacker…

‫آسیب‌پذیری روز صفر شناسایی شده در ویندوز 10 امکان ایجاد فایل در فولدر "system 32" را برای کاربران غیر مجاز فراهم می‌آورد. این فولدر جزء ناحیه محدود شده (Restricted) سیستم‌ عامل است که اطلاعات حیاتی سیستم‌عامل و نرم افزارهای نصب شده آن در این فولدر نگهداری می‌شود. این آسیب‌پذیری فقط در دستگاه‌هایی که ویژگی Hyper-V در آن‌ها فعال است، وجود دارد که این عامل موجب کاهش تعداد دستگاه‌های هدف این حمله می‌شود. چراکه این ویژگی به صورت پیش‌فرض در نسخه‌های Pro،Enterprise وEducation از ویندوز 10 فعال نیست.
Hyper-V ویژگی است که ویندوز 10 برای ایجاد ماشین مجازی مورد استفاده قرار می‌دهد. با فراهم‌سازی منابع سخت‌افزار کافی، Hyper-V می‌تواند ماشین‌های مجازی بزرگ با 32 پردازنده و 512 گیگ رم را اجرا نماید. یک کاربر عادی ممکن است، هیچ‌گاه نیاز به اجرای ماشین مجازی با این مشخصات نداشته باشد؛ اما کاربران عادی ممکن است مایل باشند تا Sandbox ویندوز را اجرا نمایند که استفاده از این ویژگی به صورت خودکار Hyper-V را فعال می‌نماید.
مایکروسافت در به‌روز‌رسانی ماه می‌ سال 2019 ، Sandbox را در نسخه 1903 از ویندوز 10 معرفی کرد. کاربران با فعال سازی Sandbox می توانند در محیط ایزوله و بدون نگرانی از تحت تاثیر قرار گرفتن سیستم‌عامل خود برنامه‌ای را که به آن اعتماد ندارند، اجرا کنند یا وبسایتی مشکوکی را باز نمایند.
کاربران ویندوز 10 باید توجه نمایند که مایکروسافت فعلا وصله‌ای برای این محصول ارائه نداده است.

منبع:

https://www.bleepingcomputer.com/news/security/windows-10-sandbox-activation-enables-zero-day-vulne…

مایکروسافت در اصلاحیه‌ای که 8 سپتامبر 2020 میلادی منتشر کرد برای 129 ‫آسیب‌پذیری محصولات خود، وصله ارائه نموده‌است. از میان این آسیب‌پذیری‌ها 23 مورد جزء دسته‌بندی آسیب‌پذیر‌ها با درجه اهمیت بحرانی (Critical) هستند، 105 مورد در دسته‌بندی با درجه اهمیت مهم (Important) قرار دارند و یک مورد نیز در دسته‌بندی با درجه اهمیت متوسط (Moderate) است. خوشبختانه هیچ آسیب‌پذیری روز صفری در میان آسیب‌پذیری‌های رفع شده در اصلاحیه سپتامبر وجود ندارد. با این وجود، چند آسیب‌پذیری با درجه اهمیت بحرانی که منجر به اجرای کد از راه دور می‌شوند، در این اصلاحیه رفع شده است. جهت مطالعه بیشتر اینجا کلیک نمایید.

در پی نقص امنیتی موجود در نرم‌افزار ویدئو کنفرانس Jabber، شرکت سیسکو، نسخه جدیدی از این نرم‌افزار را برای سیستم‌عامل‌های ویندوز منتشر کرد که در این بروزرسانی، آسیب‌پذیری‌های موجود را وصله زده است. تبعات ناشی از این ‫آسیب‌پذیری ممکن است بسیار خطرناک باشد و در صورت بهره‌برداری از آن، احراز هویت مهاجم غیرمجاز تأیید شده و در نتیجه می‌تواند از راه دور کد دلخواد را اجرا کند. شدیدترین و خطرناک‌ترین نقص امنیتی مربوط به آسیب‌پذیری با شناسه "CVE-2020-3495" و به دلیل اعتبارسنجی نادرست محتویات پیام است. با ارسال پیام مخرب و ساختگی Extensible Messaging and Presence Protocol (XMPP) توسط مهاجم، نرم‌افزار تحت تأثیر، مورد سوءاستفاده قرار می‌گیرد. این نقص دارای امتیاز CVSS 9.9 و شدت بحرانی است.

بنا بر اظهارات منتشر شده از طرف شرکت سیسکو: بهره‌برداری موفق از این آسیب‌پذیری موجب خواهد شد تا اپلیکیشن، برنامه‌های دلخواه را با سطح دسترسی حساب‌کاربری‌ای که در حال اجرای نرم‌افزار کلاینت Jabber می‌باشد، بر روی سیستم هدف اجرا کند و منجر به اجرای کد دلخواه شود. این نقص پس از هشدار سیسکو مبنی بر بهره‌برداری از نقص روز صفرم نرم‌افزار روتر IOS XR به وجود آمد.
XMPP (که Jabber نامیده می‌شود) یک پروتکل ارتباطی مبتنی بر XML است که جهت سهولت در امر پیام‌رسانی فوری بین دو یا چند شبکه استفاده می‌شود، این پروتکل به گونه‌ای طراحی شده است که توسعه‌پذیر بوده و امکان اضافه شدن قابلیت‌های جدید از جمله XEP-0071: XHTML-IM به آن وجود دارد. نقص Cisco Jabber در واقع ناشی از آسیب‌پذیری (cross-site scripting (XSS به هنگام تجزیه و تحلیل پیام XHTML-IM می‌باشد.

به گفته محققان Watchcom، این اپلیکیشین، پیام‌های HTML ورودی را به خوبی بررسی نمی‌کند و در عوض آن‌ها را از طریق فیلتر XSS معیوب، منتقل می‌کند؛ در نتیجه یک پیام مجاز XMPP، قطع و اصلاح شده و باعث خواهد شد تا اپلیکیشن، یک برنامه اجرایی دلخواه را که از قبل در مسیر فایل محلی اپلیکیشن وجود داشته را اجرا کند. برای این امر، از تابع آسیب‌پذیر Chromium Embedded Framework (CEF) یعنی یک فریمورک اوپن سورس که در مرورگر وب اپلیکیشن‌های دیگر استفاده می‌شود، بهره گرفته می‌شود. این امر می‌تواند توسط مهاجم مورد سوءاستفاده قرار گرفته و منجر به اجرای فایل "exe."در دستگاه قربانی شود.
بااین وجود، مهاجمان باید به دامنه‌های XMPP قربانی دسترسی داشته باشند تا جهت بهره‌برداری موفق از آسیب‌پذیری مذکور، پیام مخرب XMPP را ارسال کنند. علاوه بر این، سه نقص دیگر با شناسه‎‌های "CVE-2020-3537"، "CVE-2020-3498" و "CVE-2020-3430"، می‌تواند جهت تزریق دستورات مخرب و افشای اطلاعات مورد بهره‌برداری قرار گیرند، از جمله پسورد هش شده NTLM کاربران.

جهت کاهش خطرهای احتمالی، نرم‌افزار خود را به جدیدترین نسخه و نسخه‌هایی که این آسیب‌پذیری در آن‌ها رفع شده است(یعنی 12.1.3 , 12.5.2, 12.6.3, 12.7.2, 12.8.3 و 12.9.1) بروزرسانی کنید.

منابع:

[1] https://thehackernews.com/2020/09/cisco-jabber-hacking.html
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3495
[3] https://www.helpnetsecurity.com/2020/09/03/cve-2020-3495/

هکرها کماکان در حال بهره‌برداری گسترده از ‫آسیب‌پذیری اجرای کد از راه دور در ثابت‌افزار (Firmware) استفاده‌شده در دستگاه‌های ذخیره‌ساز متصل به شبکه (QNAP (NAS که پیش از این هشدار آن منتشر شده بود، است. این درحالیست که آسیب‌پذیری مذکور سه سال پیش توسط کمپانی QNAP در نسخه 4.3.3 رفع شده ‌است. هکرها با سوء‌استفاده از باگ Command Injection موجود در دستگاه QNAP NAS حمله اجرای کد از راه دور را اجرا می‌کنند. این باگ در برنامه CGI در مسیر /httpd/cgi-bin/authLogout.cgi است. این کد در زمان خروج کاربران برای انتخاب تابع logout مناسب بر اساس فیلد "name" موجود در کوکی استفاده می‌شود.
QNAP این آسیب‌پذیری را در تاریخ 21 جولای سال 2017 با حذف متدی که دستورات از طریق آن تزریق می‌شد، در نسخه 4.3.3 رفع نموده است. لیست نسخه‌های آسیب‌پذیر ثابت‌افزار QNAP در جدول ذکر شده است.

باید توجه داشت که هکرها در حال سوءاستفاده گسترده از آسیب‌پذیری‌های QNAP هستند. برای مثال در اوایل اگوست آژانس امنیتUS و UK از استفاده گسترده از بدافزار QSnatch خبر داده‌اند. بنابراین توصیه می‌شود تا کاربران QNAP در اسرع وقت ثابت‌افزار خود را به‌روزرسانی نمایند و همچنین همواره سیستم خود را با هدف شناسایی فرایندها و اتصالات شبکه غیرطبیعی به صورت مرتب بازرسی و مانیتور نمایند.
منابع:

[1] https://securityaffairs.co/wordpress/107750/hacking/qnap-nas-attacks.html
[2]https://blog.netlab.360.com/in-the-wild-qnap-nas-attacks-en

در 29 اگوست سال 2020 میلادی، سیسکو طی بیانیه‌ای در خصوص وجود ‫آسیب‌‌پذیری روز صفر در نرم‌افزارIOS XR هشدار داد. این بیانیه پس از آگاهی تیم پاسخ حوادث امنیتی محصولات سیسکو از تلاش برای بهره‌برداری از این آسیب‌پذیری منتشر شد. سیسکو دو روز بعد با به‌روزرسانی بیانیه قبلی خود از وجود آسیب‌پذیری دیگری نیز در همین نرم‌افزار (نرم‌افزار IOS XR) خبر داد. شناسه‌های CVE-2020-3569 وCVE-2020-3566 به این دو آسیب‌پذیری اختصاص داده ‌شده ‌است و هر دو آسیب‌پذیری دارای شدت بالا هستند.
هر دستگاه سیسکویی که نرم‌افزار IOS XR را با یک اینترفیس فعال و پیکربندی مسیریابی Multicast استفاده می‌کند، تحت تاثیر این آسیب‌پذیری‌ها قرار دارد. این آسیب‌پذیری‌ها که از نوع انکار‌ سرویس هستند به دلیل مدیریت نادرست صف بسته‌های Internet Group Management Protocol) IGMP) ایجاد می‌شوند.
هکرها برای بهره‌برداری از این آسیب‌پذیری‌ها، ترافیک جعلی IGMP را به دستگاه‌های تحت تاثیر این آسیب‌پذیر‌ها ارسال می‌کنند. بهره‌برداری موفق از این آسیب‌پذیری‌ها موجب Memory exhaustion و در نتیجه بی‌ثباتی فرایندهای دیگر از جمله فرایندهای مسیریابی داخلی و خارجی خواهد شد که نتیجه آن کند شدن یا اختلال کامل در شبکه می‌باشد.
براساس بیانیه سیسکو در حال حاضر هیچ وصله‌ای برای این آسیب‌پذیری‌ها وجود ندارد و تیم سیسکو در حال تلاش برای ارائه وصله برای این دو آسیب‌پذیر هستند. با این حال سیسکو دو راهکار پیشنهادی برای جلوگیری از بهره‌برداری از این آسیب‌پذیری‌ها ارائه کرده است.

- راهکار اول محدودسازی نرخ ترافیکIGMP و تنظیم نرخ ترافیک IGMP به کمتر از متوسط نرخ فعلی است. این راه‌کار قطعی نبوده و فقط موجب افزایش زمان بهره‌برداری خواهد شد. این راهکار با وارد کردن دستور زیر در Configuration mode قابل پیاده‌سازی است.

RP/0/0/CPU0:router(config)# lpts pifib hardware police flow igmp rate

- راهکار دوم به‌روزرسانی interface access control list (ACL) یا ایجاد یک لیست جدید است به نوعی که از ترافیک ورودی DVMRP در سیستم جلوگیری کند. این راهکار با اجرای دستور زیر قابل پیاده‌سازی می‌باشد.

RP/0/0/CPU0:router(config)# ipv4 access-list deny igmp any any dvmrp

منابع:

[1] https://www.cbronline.com/news/hackers-are-attempting-to-cripple-cisco-networking-kit-via-new-0day
[2] https://www.tenable.com/blog/cve-2020-3566-cve-2020-3569-zero-day-vulnerabilities-in-cisco-ios-xr-s…

سه ‫آسیب‌پذیری با شناسه‌های "CVE-2020-9490"، "CVE-2020-11984" و "CVE-2020-11993"، در وب‌سرور آپاچی توسط Felix Wilhelm محقق امنیتی Google Project Zero کشف شد که دو مورد از آن‌ها دارای شدت بالا(Base Score 7.5) و یک مورد نیز دارای شدت بحرانی (Base Score 9.8) می‌باشد. در ادامه به بررسی هر یک از این آسیب‌پذیری‌ها پرداخته خواهد شد.
CVE-2020-9490: به گفته Felix Wilhelm، ماژول Apache’s mod_http2، از ویژگی خاصی پشتیبانی می‌کند که کلیه منابعی که پیش‌تر بر روی یک اتصال HTTP/2منتقل شده‌اند را نگه می‌دارد؛ همچنین کلاینت می‌تواند با ارسال این ویژگی رمزگذاری‌شده بر مبنای base64 در Cache-Digest header، از نگهداری غیرضروری منابع جلوگیری کند که از بین آسیب‌پذیری‌های مذکور، این آسیب‌پذیری با شدت بحرانی در ماژول HTTP/2 وجود دارد. این نقص تحت شرایط خاص، از طریق اجرای کد از راه دور یا حمله انکار سرویس مورد بهره‌برداری امنیتی قرار خواهد گرفت؛ گفتنی است که مهاجم می‌تواند با استفاده از Cache-Digest header دستکاری شده، باعث Crash در حافظه و انجام حمله انکار سرویس شود.
CVE-2020-11984: آسیب‌پذیری با شدت بالا یک نقص مربوط به سرریز بافر است که بر ماژول "mod_uwsgi" تأثیر گذاشته و می‌تواند منجر به اجرای کد از راه دور شود؛ این نقص به طور بالقوه به یک مهاجم اجازه می‌دهد داده‌های حساس را بسته به امتیازات مرتبط با یک برنامه در حال اجرا بر روی سرور، مشاهده، حذف و یا آن‌ها را تغییر دهد.
CVE-2020-11993: این آسیب‌پذیری تنها هنگامی که debugging در ماژول “mod_http2” فعال است، قابل بهره‌برداری می‌باشد. این آسیب‌پذیری منجر خواهد شد تا اطلاعات ورود بر روی یک کانکشن اشتباه ایجاد و منجر به تخریب حافظه شود.
اگر چه تاکنون گزارشی در خصوص بهره‌برداری از این آسیب‌پذیری‌ها منتشر نشده است، اما توصیه می‌شود کاربرانی که سایت‌هایشان از طریق وب‌سرور آپاچی اجرا می‌شود، هر چه سریع‌تر وب‌سرور خود را به نسخه 2.4.46 بروزرسانی کنند تا از گزند این سه آسیب‌پذیری ‌در امان باشند؛ همچنین لازم است بررسی شود اپلیکشن، فقط با مجوزهای مورد نیاز، پیکربندی شده است تا احتمال خطر کاهش یابد.

منابع:

[1] https://securityaffairs.co/wordpress/107499/security/apache-web-server-flaws.html
[2] https://thehackernews.com/2020/08/apache-webserver-security.html