شرکت D-Link به رفع پنج ‫آسیب‌پذیری موثر بر روی روترهای این شرکت با شدت‌های متوسط، بالا و بحرانی پرداخته است. با اکسپلویت این آسیب‌پذیری‌ها توسط مهاجمان، روترهای آسیب‎پذیر و به دنبال آن، شبکه به خطر خواهد افتاد. متأسفانه برخی از روترهای تحت تأثیر این آسیب‌پذیری‌ها، به وضعیت‌هایEOS و یا EOL رسیده و این شرکت دیگر از آن‌ها پشتیبانی نخواهد کرد و این بدان معناست که بروزرسانی‌های امنیتی را نیز دریافت نخواهند کرد. بر اساس گزارش‌های منتشر شده، روتر‌های DAP-1522 و DIR-816L که از جانب شرکت D-Link پشتیبانی نمی‌شوند، تحت تأثیر این آسیب‌پذیری‌ها قرار دارند. این دستگاه‌ها، فریمورهای نسخه v1.42 و v12.06.B09 و قبل‌تر را اجرا می‌کنند و در حال حاضر بروزرسانی‌های امنیتی منتشر شده را دریافت نخواهند کرد. برای مطالعه بیشتر اینجا کلیک کنید.

طبق گزارشات منتشر شده، يک ‫آسيب‌پذيري اجراي کد از راه دور در Microsoft Sharepoint Server وجود دارد که هنگام عدم موفقيت در شناساييِ درست و فيلتر کردن صفحات وب ASP.Net ناامن رخ مي‌دهد. این آسیب پذیری با شدت خطر CVSS 8.8 و شماره شناسه CVE-2020-1181 شناخته شده است. نفوذگر برای بهره برداری از این آسیب پذیری نیاز به دسترسی Add and Customize Pages دارد. با استفاده از یک صفحه جعلی می‌تواند در بستر امن SharePoint application pool اقدامات مخرب انجام دهد. این آسیب پذیری از نقص در یک web part به نام WikiContentWebpart نشات می گیرد. جهت مطالعه بیشتر اینجا کلیک کنید.

در تاریخ 13 ژوئیه 2020، SAP یک بروزرسانی امنیتی برای مدیریت یک ‫آسیب‌پذیری بحرانی منتشر کرد. این آسیب پذیری با شناسه CVE-2020-6287 بر رویSAP NetWeaver Application Server (AS) Java component LM Configuration Wizard تأثیر می گذارد. یک مهاجم نامعتبر می‌تواند از این آسیب پذیری از طریق پروتکل HTTP، سوء استفاده کند تا کنترل برنامه های مورد اعتماد SAP را به دست بگیرد. این آسیب پذیری به دلیل عدم تأیید هویت در یک مؤلفه وب مربوط به SAP NetWeaver AS برای جاوا، معروف شده است که اجازه چندین فعالیت ممتاز در سیستم SAP را ایجاد می کند.
یک مهاجم از راه دور و غیرمعتبر، در صورت سوء استفاده موفقیت آمیز می تواند از طریق ایجاد کاربران ممتاز و اجرای دستورات سیستم عامل دلخواه با امتیازات حساب کاربری سرویسSAP، ( adm) دسترسی نامحدود به سیستم های SAP را بدست آورد که به منزله دسترسی نامحدود به پایگاه داده SAP می باشد و قادر است فعالیت های نگهداری برنامه، مانند خاموش کردن برنامه های SAP متعهد شده را انجام دهد. محرمانه بودن، یکپارچگی و در دسترس بودن داده ها و فرآیندهای میزبانی شده توسط برنامه SAP، در معرض خطر این آسیب پذیری قرار دارند.
با توجه به اهمیت برنامه های تجاری SAP، آژانس امنیت زیرساخت ها و امنیت سایبری (CISA) به سازمان ها توصیه می‌کند تا وصله‌گذاری سیستم‌های در معرض اینترنت و سپس سیستم‌های داخلی را در اولویت قرار دهند. سازمان هایی که قادر به وصله گذاری فوری نیستند، باید با غیرفعال کردن سرویس LM Configuration Wizard، آسیب پذیری را کاهش دهند. اگر این گزینه ها در دسترس نباشند یا این اقدامات بیش از 24 ساعت به طول انجامد، CISA اکیداً توصیه می کند که فعالیت های SAP NetWeaver AS پایش شود. به دلیل انتشار وصله ها به صورت عمومی امکان سوء استفاده از سیستم های وصله نشده فراهم شده است.

سیستم های تحت تأثیر
این آسیب پذیری به طور پیش فرض در برنامه های SAP اجرا شده بر روی SAP NetWeaver AS Java 7.3 و تمامی نسخه های جدیدتر (تا SAP NetWeaver 7.5) وجود دارد. راه حل های تجاری بالقوه آسیب پذیر SAP، آسیب پذیری های مبتنی بر جاوای SAP را شامل می شوند (اما محدود به این موارد نیست)؛ مانند:
• برنامه ریزی منابع سازمانی SAP،
• مدیریت چرخه عمر محصول SAP،
• مدیریت ارتباط با مشتری SAP،
• مدیریت زنجیره تأمین SAP،
• مدیریت روابط تأمین کننده SAP،
• انبار تجاری SAP NetWeaver،
• هوش تجاری SAP،
• زیرساخت های سیار SAP NetWeaver،
• پورتال سازمانی SAP،
• تنظیم هماهنگی فرآیند / ادغام فرآیند SAP،
• مدیر راه حل SAP،
• زیرساخت توسعه SAP NetWeaver،
• زمانبندی فرآیند مرکزی SAP،
• محیط ترکیب SAP NetWeaver،
• مدیر چشم انداز SAP.

CISA کاربران و سرپرستان محصولات SAP را تشویق می کند که:

• سیستم های SAP را برای کلیه آسیب پذیری های شناخته شده، از جمله فقدان وصله های امنیتی، پیکربندی خطرناک سیستم و آسیب پذیری در کد سفارشی SAP اسکن کنند.
• وصله های امنیتی مفقود شده را بلافاصله اعمال کنند و وصله گذاری امنیتی را به عنوان بخشی از یک پروسه دوره ای نهادینه کنند
• تجزیه و تحلیل سیستم ها برای مجوزهای کاربری مخرب یا مفرط.
• نظارت بر سیستم ها برای شاخص های سازش ناشی از سوء استفاده از آسیب پذیری ها.
• نظارت بر سیستم ها برای رفتار مشکوک کاربر، از جمله کاربران ممتاز و غیر ممتاز.
• برای بهبود وضعیت امنیتی در برابر حملات هدفمند پیشرفته، هوش تهدید در مورد آسیب پذیری های جدید را اعمال کنند.
• پایه های امنیتی جامع برای سیستم ها تعیین کنند و به طور مداوم بر نقض انطباق نظارت کنند و انحرافات تشخیص داده شده را اصلاح کنند.
• این توصیه ها در سیستم های SAP در محیط های عمومی، خصوصی و ترکیبی اعمال می شوند.
• از پیکربندی ایمن چشم انداز SAP خود اطمینان حاصل کنند
• تنظیمات امنیتی رابط های SAP بین سیستم ها و برنامه ها را شناسایی و تجزیه و تحلیل کنند تا خطرات ناشی از این روابط مورد اعتماد را دریابند.

منبع:  https://us-cert.cisa.gov/ncas/alerts/aa20-195a

شرکت مایکروسافت در تاریخ July 14 سال 2020 وصله ای برای آسیب‌پذیری بحرانی در سرویس DNS ویندوزسرور منتشر کرد. این آسیب پذیری، امکان اجرای کد از راه دور (RCE) و همچنین اخذ دسترسی کامل از سرور ویندوز دارای سرویس DNS آلوده را برای مهاجم فراهم می کند. احتمال استفاده از این حفره امنیتی توسط بات نت ها و باج افزار هایی که از متد worm برای انتشار استفاده میکنند بسیار بالا می باشد. این آسیب پذیری با شدت ۱۰ از ۱۰ (CVSS Score) و با شناسه CVE-2020-1350 معرفی شده است و تمامی نسخه های ویندوز از ویندوز 2008 تا 2019 در برابر آن آسیب پذیرند.
مهاجم با استفاده از ایجاد و ارسال درخواست های آلوده به سمت DNS Server میتواند حمله RCEرا به اجرا گذاشته و دسترسی کاملی به سرور اخذ کند. درصورتی که سرور نقش domain controller را در active directory داشته باشد، مهاجم می تواند دسترسی کاملی به کل فضای domain اخذ کرده و تمامی دارایی های موجود در این فضا را در اختیار گیرد.
*اجرای وصله و ایمن سازی را به هیچ وجه به تاخیر نیاندازید و این فرآیند را محدود به سرور هایی که صرفا در فضای اینترنت در دسترس هستند نکنید.
رفع آسیب پذیری:

۱- نصب آخرین آپدیت های ارائه شده روی ویندوز سرور
۲- انجام تغییرات زیر در رجیستری

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

3- Restart نمودن سرویس DNS
لینک های مفید:

[1]https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
[2]https://support.microsoft.com/help/4569509

شرکت مایکروسافت دو به‌روزرسانی امنیتی را جهت وصله دو آسیب‌پذیری موجود در کتابخانه codecs ویندوز منتشر کرد. ‫آسیب‌پذیری‌ های مذکور با شناسه CVE-2020-1425 و CVE-2020-1457 بر کتابخانه codecs ویندوز در توزیع‌های ویندوز 10 و ویندوز سرور 2019 اثر می‌گذارند. شرکت مایکروسافت همچنین اظهار داشت که از این دو نقض امنیتی می‌توان توسط یک فایل تصویری دست‌کاری شده خاص بهره‌برداری کرد. اگر این تصاویر در برنامه‌هایی باز شود که از کتابخانه codecsویندوز، برای مدیریت محتوای چندرسانه‌ای استفاده می‌کند‌، مهاجم می‌تواند کد مخرب خود را روی سیستم ویندوز اجرا کرده و کنترل کاملی بر آن به دست آورد.جهت مطالعه بیشتر اینجا کلیک کنید.

اجرای کد از راه دور در دستگاه‌های F5 BIG-IP، دولت‌ها، ارائه دهندگان فضای ابری، ISPها، بانک‌ها و بسیاری از شرکت‌های Fortune 500 را در معرض حملات احتمالی قرار می‌دهد. F5 Networksیکی از بزرگترین شرکت‌های ارائه‌دهنده تجهیزات شبکه در سراسر جهان، این هفته یک مشاوره امنیتی را منتشر کرده است که به مشتریان خود توصیه می‌کند که یک نقص امنیتی خطرناک را که به احتمال زیاد مورد اکسپلویت قرار گرفته است، وصله نمایند. این آسیب‌پذیری، محصول BIG-IPاین شرکت را تحت تاثیر قرار می‌دهد. BIG-IPدستگاه‌های چندمنظوره شبکه هستند که می‌توانند به عنوان سیستم‌های شکل‌دهی ترافیک وب، لود بالانسرها، فایروال‌ها، دروازه‌های دسترسی (access gateways)، rate limiterها یا SSL middlewareکار کنند. BIP-IP یکی از محبوبترین محصولات شبکه است که به صورت روزانه در شبکه‌های دولتی در سراسر جهان، در شبکه‌های مربوط به ارائه‌دهندگان خدمات اینترنت، در مراکز داده محاسبات ابری و به طور گسترده در شبکه‌های سازمانی مورد استفاده قرار می‌گیرد. جهت مطالعه بیشتر اینجا کلیک نمایید.

در پی نقص بحرانی موجود در فایروال PAN-OS با شناسه "CVE-2020-2021" که به واسطه آن مهاجمان قادرند فرآیند احراز هویت را در این فایروال دور بزنند، شرکت Palo Alto اقدام به رفع این #‫آسیب‌پذیری کرده است. هنگامی که احراز هویت SAML فعال و قابلیت ‘Validate Identity Provider Certificate’ غیرفعال باشد، تأیید هویت نادرست در PAN-OS SAML، مهاجم را قادر می‌سازد تا به منابع شبکه دسترسی پیدا کند. گفتنی است که برای اکسپلویت این آسیب‌پذیری، مهاجم باید به سرور آسیب‌پذیر دسترسی داشته باشد.
 

آسیب‌پذیری مذکور دارای شدت بحرانی و CVSS 3.x base score of 10 بوده و کمپانی مربوطه اعلام کرده است که در صورت عدم استفاده از SAML در فرآیند احراز هویت و نیز غیر فعال بودن قابلیت Validate Identity Provider Certificate در SAML Identity Provider Server Profile، این آسیب‌پذیری اکسپلویت نخواهد شد. به گفته شرکت Palo Alto، در خصوصGlobalProtect Gateways, GlobalProtect Portal Clientless VPN, Prisma Access Prisma Access و Prisma Access، مهاجم غیرمجاز، با دسترسی شبکه‌ به سرورهای تحت تاثیر این آسیب‌پذیری و درصورتیکه توسط احراز هویت پیکربندی شده و سیاست‎‌های امنیتی، مجاز باشد می‌تواند به منابع محافظت شده شبکه دسترسی پیدا کند؛ همچنین این منابع می‌توانند از طریق احراز هویت SAML-based single sign-on (SSO)، از خطر این آسیب‌پذیری به دور باشند.
در حملات صورت گرفته علیه PAN-OS و رابط‌های وب Panorama، آسیب‌پذیری مذکور می‌تواند توسط یک مهاجم غیر مجاز با دسترسی شبکه به PAN-OS و رابط‌های وب Panorama، اکسپلویت شود تا مهاجم به عنوان ادمین وارد سیستم شده و اقدامات مربوطه در حوزه اختیارات ادمین را انجام دهد که در بدترین حالت این آسیب‌پذیری دارای شدت بحرانی و CVSS 3.x base score of 10 می‌باشد، اما اگر رابط‌های وب تنها به یک شبکه منحصربفرد دسترسی داشته باشند، رتبه این آسیب‌پذیری به CVSS Base Score of 9.6 کاهش خواهد یافت.
خبر خوب این است که شبکه‌های Palo Alto از حملات ناشی از اکسپلویت این آسیب‌پذیری اطلاعات موثقی دریافت و منتشر نکرده‌اند. وجود نام کاربری غیرمعمول و یا آدرس‌های IP منبع در لاگ‌ها باید به عنوان زنگ خطری مورد توجه قرار گیرد. گفتنی است این آسیب‌پذیری توسط Salman Khan از تیم Cyber Risk and Resilience ، Cameron Duck و تیم سرویس‌های Identity دانشگاه Monash گزارش شده است. به گفته یکی از محققان امنیتی، احتمالأ APTها به زودی سعی در اکسپلویت نقصِ Palo Alto Networks موجود در PAN-OS خواهند داشت.
آسیب‎پذیری مذکور بر روی PAN-OS 9.1 و نسخه‌های قبل از PAN-OS 9.1.3، PAN-OS 9.0 و نسخه‌های قبل از PAN-OS 9.0.9 و PAN-OS 8.1، نسخه‌های قبل از PAN-OS 8.1.15 و تمام نسخه‌های (PAN-OS 8.0 (EOL تأثیر می‌گذارد، گفتنی است که این آسیب‌پذیری بر روی PAN-OS 7.1 تأثیر نمی‌گذارد.
در حالت کلی مشتریان می‌توانند موارد زیر را بررسی کنند تا مشخص شود که آیا تحت تاثیر آسیب‌پذیری قرار گرفته‌اند یا خیر:

• لاگ‌های احراز هویت
• لاگ‌های User-ID
• ACC Network Activity Source/Destination Regions (Leveraging the Global Filter feature)
• Custom Reports (Monitor > Report)
• لاگ‌های GlobalProtect (در نسخه PAN-OS 9.1.0 و بالاتر)

اما با توجه به اهمیت این آسیب‌پذیری و نیز بالا بودن شدت آن، هرچه سریع‌تر نسبت به وصله دستگاه‌های تحت‌تأثیر این آسیب‌پذیری بخصوص اگر پروتکل SAML مورد استفاده قرار گرفته است، اقدام کنید.
منابع:

[1] https://securityaffairs.co/wordpress/105351/hacking/critical-flaw-firewall-pan-os.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2020-2021
[3] https://securityaffairs.co/wordpress/105388/hacking/pan-os-flaw-uscybercom.html

تعداد 19 آسیب پذیری تحت نام ripple20 توسط تیم امنیتی بنام JSOF در کتابخانه TCP/IP بنام treck کشف شده است. این کتابخانه سطح پایین معمولا در دستگاه هایی با سیستم عامل نهفته یا دستگاه های صنعتی (RTOS) مورد استفاده قرار گرفته است. آسیب پذیری های کشف شده به دلیل پتانسیل استفاده سلسله مراتبی از آن ها توسط مهاجم (chain exploitation) یک تهدید جدی برای دستگاه های آسیب پذیر تلقی میگردد. پیش از این در تاریخ 1 تیر ماه 1399 در پورتال مرکز ماهر این آسیب پذیری ها به جزئیات بیشتر اطلاع رسانی گردیده بود.
در همین مدت کوتاه از زمان انتشار این مجموعه آسیب پذیری، برخی شرکت های مطرح دنیا همچون Dell، HP، Intel، Schneider و ... اعلام داشتند که برخی محصولات آن ها در برخی از نسخه های نرم افزاری، تحت تاثیر قرار گرفته اند.
بررسی محصولات شرکت های متخلف که متاثر از این مجموعه آسیب پذیری می باشند تا کنون منجر به دستیابی به لیست محصولات تحت تاثیر از 11 برند مطرح دنیا شده است که در فایل پیوست ارائه شده است.

به تازگی ‫بات‌نت جدیدی به نام Lucifer مشاهده شده است که سیستم‌های ویندوزی را مورد هدف قرار می‌دهد. این بات نت پس از آلوده کردن سیستم، آن را توسط رباتی به یک کلاینت cryptomining تبدیل کرده و از این طریق می‌تواند حملات انکار سرویس (DDoS ) توزیع شده را آغاز کند. نویسنده بدافزار، این ربات را Satan DDoS نام‌گذاری کرده است اما محققان42 Palo Alto Network’s Unit، به آن لقب Lucifer داده‌اند. در 29ام ماه می 2020، محققانِ Unit 42 ، نوع جدیدی از بدافزار ترکیبی cryptojacking را کشف کردند که #‫آسیب‌پذیری با شناسه "CVE-2019-9081"را اکسپلویت می‌کند. بررسی‌ها نشان می‌دهد بدافزار Lucifer قادر به انجام حملات DDoS و همچنین اکسپلویت هاست‌های آسیب‌پذیر ویندوز می‌باشد.جهت مطالعه بیشتر در این خصوص اینجا کلیک کنید.

اخیراً دو گونه مختلف از بدافزارهای بات‌نت لینوکس به نام‌های بدافزار XORDDoS و بدافزار Kaiji DDoS، سرورهای Docker را در معرض خطر قرار داده‌اند. بدافزار XORDDoS جهت هدف قرار دادن میزبان‌های لینوکس در سیستم‌های ابری و Kaiji به منظور هدف قرار دادن دستگاه‌های اینترنت اشیاء (IoT) استفاده می‌شود. مهاجمان معمولاً از بات‌نت‌ها جهت انجام حملات brute-force پس از اسکن پورت‌های باز Secure Shell (SSH) و Telnet استفاده می‌کنند. سرورهای Docker از پورت 2375 استفاده می‌کنند. پورت 2375 در این سرورها باز بوده و می‌توان بدون رمزنگاری و احراز هویت به آن متصل شد. تفاوت قابل توجهی بین روش حمله این دو نوع از بدافزار وجود دارد. حمله XORDDoS با آلوده سازی سرور Docker به کلیه سیستم‌های میزبانی شده روی آن نفوذ می‌کند و Kaiji فایل‌هایی را که بدافزار پس از حمله DDoS نصب می‌کند را گسترش می‌دهد. این بدافزارها باعث تسهیل حملات DDoS، که منجر به بستن، غیرفعال کردن یا اختلال در شبکه، وبسایت یا خدمات می‌شوند، خواهند شد. این کار با استفاده از چندین سیستم برای غلبه بر سیستم هدف، تا زمانی که ترافیک برای سایر کاربران غیرقابل دسترسی شود، انجام می‌شود. جهت مطالعه بیشتر اینجا کلیک کنید