یک آسیب‌پذیری امنیتی از نوع CSRF (Cross-Site Request Forgery) با شدت بالا که منجر به حملات Stored XSS می‌شود، در نسخه 3.9 و همه‌ی نسخه‌های قبل از افزونه وردپرسی به نامReal-Time Find and Replace یافت شده است. این افزونه که برای کاربران امکان جایگذاری محتوای کد و متن را به طور موقت و بدون نیاز به مراجعه به سورس کد اصلی سایت فراهم می‌کند، بر روی بیش از 100 هزار وب سایت وردپرسی نصب است. استفاده از این افزونه به دلیل عملکرد محدود آن بسیار آسان است.

1. تزریق کد مخرب
با توجه به عملکرد افزونه، مهاجم می‌تواند با بهره‌برداری از این آسیب‌پذیری هر نوع کد مخربی را جایگزین سورس کد اصلی وبسایت کند. به طور دقیق‌تر افزونه Real-Time Find and Replace هر محتوای HTMLی در وبسایت وردپرسی را با محتوای HTML جدید جایگزین می‌کند. آسیب‌پذیری از عدم ارزیابی مبدا درخواست در تابع far_options_pageکه هسته اصلی عملکرد افزونه را با افزودن قوانین find and replace تشکیل می‌دهد، ناشی می‌شود. همان طور که در شکل شماره 1 مشاهده می‌شود، مهاجم با استفاده از این آسیب‌پذیری می‌تواند یک تگ HTML مانند را با جاوا اسکریپت مخرب جایگزین کند. از آنجایی که تقریبا همه‌ی صفحات سایت با تگ شروع می‌شوند، اجرای کد جاوا اسکریپت مخرب، تاثیر گسترده‌ای خواهد داشت. این کد مخرب می‌تواند برای تزریق یک حساب کاربری آدمین، سرقت کوکی‌های جلسات یا هدایت و انتقال کاربران به سایت‌های مخرب مورد بهره‌برداری قرار بگیرد.
 

شکل شماره 1: مثالی از جایگزینی تگ با کد جاوا اسکریپت

2. رفع آسیب‌پذیری در نسخه جدید
آسیب‌پذیری در 22 آوریل کشف و به توسعه‌دهندگان افزونه Real-Time Find and Replace گزارش شد. پس از مدتی نسخه جدید افزونه 4.0.2 همراه با رفع آسیب‌پذیری منتشر شد؛ با این حال تنها 27 هزار وبسایت به به‌روزرسانی افرونه اقدام کردند و باقی آنها همچنان آسیب‌پذیر هستند. به همه‌ی کاربران این افزونه توصیه می‌شود تا هر چه سریع‌تر افزونه را به نسخه 4.0.2 به‌روزرسانی کنند.

منبع:

https://www.wordfence.com/blog/2020/04/high-severity-vulnerability-patched-in-real-time-find-and-replace-plugin/

‫بات‌نت Mootbot از بهره‌برداری‌های روز صفرم دوگانه برای به خطر انداختن انواع مختلف روترهای فیبر نوری استفاده می‌کند. درواقع، سایر بات‌نت‌ها نیز تاکنون سعی در انجام این کار را داشته‌اند، اما با شکست روبرو شده‌اند.
طبق نظر محققان آزمایشگاه NetLab 360، عاملان بات‌نت Mootbot در فوریه شروع به بهره‌برداری از یک آسیب‌پذیری روز صفرم یافت شده در 9 نوع مختلف روترهای فیبر نوری، برای ایجاد دسترسی به اینترنت و Wi-Fi منازل و اماکن تجاری (شامل روتر Netlink GPON) کردند. این نقض یک آسیب‌پذیری اجرای کد از راه دور و بهره‌برداری از اثبات مفهوم عمومی (PoC) است؛ اما به‌منظور موفقیت در به خطر انداختن یک روتر، باید با یک آسیب‌پذیری دیگر ترکیب شود. بنابراین حتی اجرای موفقیت‌آمیز فرمان‌های تزریق شده، دستگاه مورد نظر را به خطر نمی‌اندازد.
در 17 مارس، این بهره‌برداری، بهره‌برداری روز صفرم تشخیص داده شد و نتایج آزمایشات به CNCERT گزارش داده شد. با وجود ارزیابی اولیه، یک کد PoC برای آسیب‌پذیری یک روز بعد در ExploitDB ایجاد شد و یک روز پس از آن، در 19 مارس حملاتی با استفاده از PoC به منظور انتشار بات‌نت Gafgyt مشاهده شد. چند روز پس آن بات‌نت کد PoC را برای انتقال به روتر دیگری استفاده کرد. بنابراین در 24 مارس موج دیگری از بهره‌برداری‌ها با استفاده از PoC به منظور انتشار بات‌نت Fbot ایجاد شد.
1 در مورد بدافزار
بات‌نت Moobot یک خانواده جدید بات‌نت مبتنی بر بات‌نتMirai است که دستگاه‌های اینترنت اشیاء (IoT) را به خطر می‌اندازد. با اینکه بیشتر بات‌نت‌های IoT ممکن است دارای گذرواژه‌های ضعیف یا پیش‌فرض باشند، بات‌نت Moobot با استفاده از بهره‌برداری‌های روز صفرم متمایز از سایر بات‌نت‌ها می‌باشد. شایان ذکر است این بدافزار در ماه مارس از بهره‌برداری‌های روز صفرم چندگانه برای هدف قرار دادن دستگاه LILIN DVR و دوربین‌های IP استفاده می‌کرد.
اگرچه جزئیاتی از دومین عامل موفقیت در زنجیره بهره‌برداری منتشر نشده است، آزمایشگاه NetLab 360 پیشنهاد می‌کند برای محافظت در مقابل تهدید کاربرانی که دارای روترهای مبتنی بر فیبر نوری هستند، باید به‌روزرسانی‌های سیستم‌عامل خود و غیرفعال شدن حساب‌های پیش‌فرض را بررسی کنند.
محققی به نام Jack Mannino، متخصص سئو در nVisium، اعلام کرد تمرکز بر روترها به مهاجمان مزایای خاصی می‌دهد. کنترل زیرساخت‌های شبکه به منظور استفاده در حملات آینده، همیشه یک هدف جذاب برای مهاجمان بوده است. به‌عنوان یک توسعه‌دهنده نرم‌افزار، باید در نظر گرفت که ممکن است شبکه‌های ارائه‌دهنده محصولات، به خطر افتاده و به مدل‌های تهدید مهاجمان تبدیل شود. با نگاهی اجمالی بر بات‌نت‌های قبلی مانند Mirai، درمی‌یابیم که این کمپین‌ها می توانند اطلاعاتی مانند سطح دستیابی به ترافیک شبکه، نقاط توقف یا تقویت‌کننده‌های حملات DDoS را به دست آورند. گروه‌های امنیتی بیشتری بر روی انتشار وصله خود تمرکز می‌کنند تا دستگاه‌هایی که معمولاً مستقیماً به اینترنت متصل می‌شوند را به‌روز کنند.

افزونه WooCommerce یک افزونه متن‌باز وردپرس با بیش از 5 میلیون نصب فعال است که اجرای سایت‌های تجارت الکترونیکی را آسان‌تر می‌کند. این افزونه محبوب‌ترین افزونه رایگان تجارت الکترونیک وردپرس است؛ که روی هر وب‌سایت سازگار با وردپرس قابل‌نصب بوده و دارای قابلیت شخصی‌سازی است. همچنین به‌راحتی در theme وردپرس وب‌سایت ادغام‌شده و به همراه بخش‌های دیگر وب‌سایت اجرا می‌شود. پس از نصب، WooCommerce به داشبورد وردپرس وب‌سایت افزوده‌شده و به همراه ابزارهای آماری و گزارش‌دهی خود کمک می‌کند تا امور تجارت الکترونیک مانند افزودن محصولات و فروش، مدیریت شوند.
افزونه WooCommerce میلیون‌ها وب‌سایت تجارت الکترونیک را در سراسر دنیا راه‌اندازی کرده است و مستقیماً از وب‌سایت وردپرس در دسترس است، یا توسط بیشتر شرکت‌های میزبانی وب ارائه می‌شود. این افزونه به توسعه‌دهندگان و کاربران جدید که تجربه‌ای در توسعه وب ندارند، اجازه می‌دهد تا از درون یک وب‌سایت وردپرسی، فروشگاه‌های آنلاین کاملاً کاربردی و جذاب طراحی کنند.
اخیراً سارقان کارت اعتباری سایتهای WooCommerce را با skimmerهای جدید هدف قرار می‌دهند. آن‌ها سایت‌های تجارت الکترونیکی وردپرس که از افزونه WooCommerce استفاده می‌کنند را با استفاده از یک بدافزار skimmer اختصاصی کارت مبتنی بر جاوااسکریپت(به جای تلاش برای هدایت پرداخت‌ها به حساب‌های تحت کنترل مهاجم) هدف قرار می‌دهند.
در اکتبر 2019، دفتر تحقیقات فدرال ایالات متحده (FBI) هشدارهایی در مورد تهدیدات skimming اینترنتی که تجارت‌های کوچک و متوسط (SMB) و سازمان‌های دولتی که از پرداخت‌های آنلاین استفاده می‌کنند را هدف گرفته بود، گزارش داد.
طبق نظر یک محقق امنیتی به نام Willem de Groot، مهاجمان در آگوست سال 2018 نیز تلاش می‌کردند فروشگاه‌های آنلاینی که از WooCommerce استفاده می‌کردند را با استفاده از brute-force کردن گذرواژه‌های admin هک کنند؛ بنابراین این اولین بار نیست که فروشگاه‌های اینترنتی WooCommerce با استفاده از حملات سرقت کارت‌های اعتباری (همچنین به‌عنوان حملات Magecart نیز شناخته می‌شوند) مورد هدف قرار می‌گیرند.
سایت‌های WooCommerce و سایر وب‌سایت‌های تجارت الکترونیکی مبتنی بر وردپرس، در گذشته نیز هدف حملات بوده‌اند، اما معمولاً محدود به تغییر جزئیات پرداخت در تنظیمات افزونه (به‌طور مثال ارسال لیست پرداخت به ایمیل‌های PayPal مهاجم، به‌جای صاحب مجاز وب‌سایت) بودند. مشاهده یک کارت اعتباری اختصاصی که تحت تأثیر بدافزارهاست، در وردپرس امری کاملاً جدید است.

1. روش جدید skimming کارت اعتباری
این حمله توسط محققی به نام Martin به دنبال گزارش‌های متعدد تراکنش‌های جعلی کارت‌ اعتباری از مشتریان، در سایت‌های تجارت الکترونیکی که از وردپرس و WooCommerce استفاده می‌کنند، کشف شد.
بررسی کامل کلیه فایل‌های اصلی فروشگاه‌های اینترنتی تحت تأثیر، وجود فایل‌های مخربی در این گزارشات را نشان داد. فایل‌هایی که دارای کد مخرب بودند به انتهای فایل‌های به ظاهر بی‌ضرر جاوااسکریپت اضافه شدند.
به گفته Martin، فهم کد جاوااسکریپت به‌تنهایی مشکل است؛ بنابراین این بدافزار شماره کارت اعتباری و CVV (کد امنیتی کارت) را در یک متن ساده به شکل کوکی ذخیره می‌کند.
همانند سایر بدافزارهای PHP، لایه‌های مختلفی از رمزگذاری و الحاق برای جلوگیری از تشخیص و مخفی شدن کد اصلی این بدافزار از مدیر وب‌سایت، استفاده می‌شوند. آنچه این حمله را برجسته می‌کند این است که عاملان تهدید به‌جای بارگذاری skimmer کارت جاوااسکریپت از یک سایت شخص ثالث تحت کنترل خود، معمولاً آن را در فایل‌های اصلی کارت قرار می‌دهند.

2. از بین بردن ردپای مهاجمان
اطلاعات پرداختی کارت سرقت شده در دو فایل تصویری در دایرکتوری wp-content/uploads ذخیره می‌شوند. با این حال skimmerهای کارت اعتباری ممکن است بتوانند قبل از تجزیه و تحلیل سایت‌های آلوده، ردپای خود را بپوشانند.
معمولاً تشخیص نقطه ورود مهاجمان برای آلوده کردن سایت‌های تجارت الکترونیکی به عنوان بخشی از حمله Magecart ساده است (یک حساب wp-admin، گذرواژه SFTP، گذرواژه میزبان یا بخشی از یک نرم‌افزار آسیب‌پذیر در محیط)، که در این نمونه آشکار نبود.
افرادی که نگران امنیت وب‌سایت وردپرس خود هستند، باید ویرایش مستقیم فایل برای wp-admin را با اضافه کردن خط زیر به wp-config.php خود غیرفعال کنند:

define( ‘DISALLOW_FILE_EDIT’, true );

روش‌های مشابهی برای حمله به سایت‌های وردپرس با استفاده از نوار پرداخت استفاده شده است که مهاجمان بارهای مخرب متفاوتی را برای هر نمونه به کار می‌گیرند.

برنامه SuperVPN Free VPN Client یک برنامه موفق اندرویدی رایگان است که از 4 سال پیش با 10.000 نصب شروع به فعالیت کرد و هم اکنون بیش از 100 میلیون نصب فعال دارد. گوگل تایید کرده است که این برنامه با بیش از 100 میلیون نصب فعال دارای آسیب‌پذیری است که منجر به شنود همه‌ی ترافیک کاربر می‌شود. در ادامه به بررسی این آسیب‌پذیری که توسط محققان امنیتی در VPNpro کشف شده است، می‌پردازیم.
با تحلیل بیشتر مشخص شد که این برنامه به هاست‌های متعدد متصل می‌شود و در یکی از این هاست‌ها payload مشکوکی با اتصال نا امن HTTP از برنامه به هاست ارسال می‌شود. این payload حاوی داده‌های رمزنگاری شده بود که در پاسخ، payload مشابه‌ی دریافت می‌کرد. این payload حاوی کلیدهای مورد نیاز برای رمزگشایی داده بود که با رمزگشایی آن، اطلاعات حساس سرور شامل گواهینامه‌های سرور و اعتبارنامه‌ها که سرور VPN برای احراز هویت احتیاج داشت بدست آمد. محققان با جایگذاری اطلاعات سرور SuperVpn با سرور آزمون خود، به نتایج زیر دست یافتند: اتصالاتی که از HTTP نا امن و آشکار استفاده می‌کنند ممنوع نیستند: ترافیک HTTP رمزنگاری نمی‌شوند در نتیجه هر فردی با رهگیری ترافیک قادر به شنود ارتباطات کاربر خواهد بود.
Payloadهای ارسالی مبهم سازی (obfuscated) شده‌اند: اطلاعات ارسالی از برنامه (کاربر) و سرور رمزنگاری شده است.
در برنامه کلیدهای رمزنگاری hardcode شده یافت شد: متاسفانه با وجود رمزنگاری payloadهای مذکور، کلیدهای موردنیاز برای رمزگشایی در خود برنامه موجود است.
Payloadها حاوی اعتبارنامه‌های EAP هستند: VPNها از اعتبارنامه‌های EAP برای جلوگیری از اتصالات خارج از برنامه به سرور خود استفاده می‌کنند. اما با ارسال اعتبارنامه‌های EAP در payloadهایی که رمزنگاری نشده‌اند یا رمزنگاری ضعیفی دارند استفاده از اعتبارنامه‌های EAP عملا بی‌فایده خواهد بود.
با استفاده از این آسیب‌پذیری علاوه بر امکان حمله مرد میانی و شنود ترافیک، مهاجم می‌تواند با تغییر جزییات اتصال VPN، کاربر را به جای اتصال به سرور VPN اصلی ‌مجبور به اتصال به سرور مخرب خود کند.
همچنین برنامه Supervpn مطابق شکل شماره 1 پیش‌تر در سال 2016 در مقاله‌ای پروهشی به عنوان برنامه مخرب شناخته شده بود.
 

در نهایت این برنامه، در هفتم آوریل از پلی استور گوگل حذف شد.

Pedro Ribeiroمحقق امنیتی و مدیر تحقیقات در Agile Information Security، چهار آسیب‌پذیری روزصفرم را پس از خودداری شرکت مربوطه از پذیرش و وصله‌کردن آن‌ها، در GitHub فاش کرد.

آسیب‌پذیری‌های موجود در نرم‌افزار امنیتی Risk Data Risk Manager (IDRM) شرکت IBM، که نرم‌افزاری تجاری بوده و در ردیابی، تجزیه و تحلیل ریسک‌های مربوط به داده‌ها کمک می‌کند، پیدا شدند.
چهار روزصفرم IBM
این محقق در حین تجزیه و تحلیل سامانه IBM Data Risk Manager چهار آسیب‌پذیری را یافت، که سه مورد از آن‌ها بحرانی و یک مورد شدیداً در معرض خطر است. این آسیب‌پذیری‌ها در زیر معرفی شده‌اند:
1) دور زدن احراز هویت
2) تزریق فرمان
3) رمز عبور پیش‌فرض ناامن
4) بارگیری خودسرانه‌ی فایل
سه آسیب‌پذیری اول که توسط مهاجمین شناسایی شده‌اند، توانایی اجرای کد از راه دور به‌صورت غیرمجاز به عنوان یک کاربر با دسترسی روت را دارند.
وی افزود: "علاوه بر این، دو ماژول Metasploit که احراز‌هویت را دور می‌زنند و از اجرای کد از راه دور و بارگیری خودسرانه‌ی فایل‌ها بهره‌برداری می‌کنند، منتشر خواهند شد."
Ribeiro وجود این آسیب‌پذیری را در نسخه‌ی 2.0.3 تأیید کرد و وضعیت آخرین نسخه 2.0.6 را نامشخص اعلام کرد.
IDRM یک محصول امنیتی سازمانی است که اطلاعات بسیار حساسی را کنترل می‌کند و از آن‌جا که این محصول اعتبارنامه‌ها را برای دسترسی به سایر ابزارهای امنیتی ذخیره می‌کند، هک‌شدن دستگاه IDRM ممکن است منجر به قربانی‌شدن تمام و کمال شرکت شود."
با ترکیب آسیب‌پذیری‌های شماره 1، 2 و 3 یک کاربر غیرمجاز می‌تواند به عنوان یک کاربر با دسترسی روت به اجرای کد از راه دور بپردازد. همچنین اگر آسیب پذیری‌های شماره 1 و 4 در کنار هم قرار گیرند، امکان دسترسی مهاجمین غیرمجاز برای بارگیری فایل‌های دلخواه از سیستم وجود دارد.
اشکالات وصله‌شده
IBM دو آسیب‌پذیری را وصله کرده است که شامل:
1) آسیب‌پذیری تزریق فرمان در نسخه‌های 2.0.1 ، 2.0.2 و 2.0.3 در نسخه‌ی 2.0.4 در نظر گرفته‌شده است.
2) بارگیری خودسرانه‌ی فایل مشخص شده در نسخه‌‍‌های 2.0.2 و 2.0.3 در نسخه‌ی 2.0.4 مورد بررسی قرار می‌گیرد.
برای کاهش تاثیر این آسیب‌پذیری‌ها، IBM به کاربران توصیه کرده است که برنامه‌های خود را به نسخه‌ی IDRM 2.0.6 به‌روز کنند.

گوگل، 49 افزونه‌ی مخرب را از مرورگر خود حذف کرد. این افزونه‌ها خود را به‌عنوان کیف پول رمزارز معرفی می‌کردند اما حاوی کد مخرب برای فاش‌کردن اطلاعات حساس و خالی‌کردن ارزهای دیجیتال بودند.
این ۴۹ افزونه توسط محققان MyCrypto و PhishFort شناسایی شدند و خود را جای برنامه‌های شناخته‌شده‌ی کیف پول رمزارز مثل MyEtherWallet، Electrun، Jaxx، MetaMask، Trezor، Ledger و KeepKey جا می‌زدند و دقیقاً مشابه افزونه‌های حقیقی عمل می‌کردند، با این تفاوت که هرگونه اطلاعات واردشده توسط کاربر در سرور هکرها و یا گوگل فرم ذخیره می‌شد.
اساساً، افزونه‌ها به‌دنبال به‌دست آوردن اطلاعات مهم مانند کلیدهای خصوصی و پرونده‌های اصلی هستند. پس از ورود کاربر به آن‌ها، افزونه درخواست HTTP POST را برای قربانی ارسال می‌کند و از این طریق می‌تواند به سوءاستفاده از اطلاعات حساب کاربری و خالی‌کردن حساب‌های مجازی بپردازد.
MyCrypto، 14 سرور کنترل و فرمان منحصربه‌فرد (C2s) را که داده‌ها را از سیستم‌های به‌خطرافتاده دریافت می‌کردند، شناسایی کرد.
برخی از این سرورها، داده‌های دریافت‌شده را به فرم GoogleDocs ارسال می‌کردند، ولی بیشتر آن‌ها با اسکریپت‌های اختصاصی PHP، میزبان قربانی خود بودند.
بیشتر دامنه‌ها کاملاً جدید بودند، به‌طوریکه 80 درصد از آن‌ها در مارس و آوریل ثبت شدند. قدیمی‌ترین دامنه (ledger.productions)، بیشترین اتصال به سرورهای دیگر را داشت و به محققان امکان شناسایی هکرهایی که بر روی اکثر افزونه‌ها در حال فعالیت بودند را داد.
یکی از افزونه‌ها برای دریافت اطلاعات کاربر، فرایند یک ارتباط ساده با MyEtherWallet را تقلید می‌کرد. پس از دریافت داده‌های مهم کاربر، برنامه‌ی مخرب آن‌ها را به C2ها ارسال می‌کرد، سپس کاربر را به حالت پیش‌فرض هدایت می‌کرد.
پس از بازگشت به حالت پیش‌فرض، ممکن بود کاربر مجدداً داده‌های خود را در اختیار هکر قرار دهد یا اینکه افزونه را از مرورگر خود حذف کند. در هر دو حالت، برنامه‌ی مخرب به کار خود ادامه داده و رمزارز کاربر را از کیف پول او خارج می‌کرد. این کار تا زمانی که افزونه از فروشگاه حذف نشود ادامه پیدا می‌کرد، بدین معنی که کاربر هیچگاه متوجه حفره‌ی امنیتی به‌وجودآمده نمی‌شد.
خوشبختانه، شبکه‌ای از کاربران هوشیار وجود داشت که نسبت به سوءاستفاده‌ی این افزونه‌ها آگاهی یافته و آن‌ها را منتشر کردند و کمک کردند تا کاربران بیشتری دچار حملات ماحیگیری (فیشینگ) نشوند.
گوگل پس از اطمینان از سوءاستفاده‌ی این افزونه‌ها از اطلاعات کاربران، آن‌ها را از فروشگاه وب کروم حذف کرد.
به کاربران توصیه می‌شود:
• تا آنجا که ممکن است از نصب افزونه‌ها بپرهیزند و با وجود موارد فوق، فقط از فروشگاه‌های رسمی وب استفاده کنند.
• بررسی‌ها و بازخورد سایر افرادی که افزونه‌ را نصب کرده‌اند، بررسی کنند.
• مجوزهای درخواست‌شده را مطالعه کنند و اطمینان حاصل کنند که مطابق با ویژگی‌های افزونه هستند.

OpenSSL Project یک به‌روزرسانی امنیتی جهت وصله‌ی یک آسیب‌پذیری با شدت «بالا» منتشر ساخته است.
این نقص که در تاریخ 7 آوریل سال 2020 به OpenSSL گزارش شده است، به عنوان یک «اشکال تقسیم‌بندی» در تابع SSL-check-chain توصیف شده است و با شناسه‌ی CVE-2020-1967 ردیابی می‌شود. سوءاستفاده از این نقص می‌تواند منجر به حملات انکار سرویس (DoS) گردد. برنامه‌های کارگزار یا سرویس‌گیرنده که تابع SSL-check-chain را در حین یا پس از دست‌دادن TLS 1.3 فراخوانی می‌کنند، ممکن است به دلیل یک ارجاع اشاره‌گر Null ناشی از دست‌دادن نادرست افزونه‌ی TLS “signature-algorithms-cert”، سقوط کنند. به عبارتی، این سقوط در صورتی اتفاق می‌افتد که الگوریتم امضای (signature) نامعتبر یا ناشناخته‌ای از همتا دریافت شود. این امر می‌تواند توسط همتای مخربی در یک حمله‌ی انکار سرویس، مورد سوءاستفاده قرار گیرد.
نسخه‌های 1.1.1d، 1.1.1e و 1.1.1f از OpenSSL تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند و در نسخه‌ی 1.1.1g وصله شده است. به گفته‌ی OpenSSL Project، نسخه‌های قدیمی‌تر 1.0.2 و 1.1.0، تحت‌تأثیر این آسیب‌‌پذیری قرار نگرفته‌اند.
این نقص، اولین نقصی است که در سال 2020 توسط OpenSSL برطرف شده است و لازم است مدیران و کاربران توصیه‌نامه‌ی امنیتی OpenSSL را مطالعه کرده و به‌روزرسانی‌های لازم را اتخاذ نمایند.

‫موزیلا به‌منظور رفع چندین آسیب‌پذیری در مرورگر خود، نسخه‌های جدیدی را برای فایرفاکس و فایرفاکس ESR منتشر کرد. هکرها می‌توانند از راه دور از این نقص‌ها برای به‌دست آوردن داده‌های حساس، سوءاستفاده کنند.
شدت برخی از این آسیب‌پذیری‌ها «بالا» بوده و در تمام نسخه‌های موزیلا فایرفاکس قبل از نسخه‌ی‌ 75 و نسخه‌های قبل از 68.7 در فایرفاکس ESR تأثیر می‌گذارند.
یکی از این آسیب‌پذیری‌های دارا شدت بالا که با شناسه‌ی "CVE-2020-6821" دنبال می‌شود، یک آسیب‌پذیری خارج از محدوده است که هنگام خواندن خارج از منبع، با استفاده از روش "WebGLcopyTexSubImage" در موزیلا فایرفاکس به‌وجود می‌آید. یک مهاجم از راه دور می‌تواند با استفاده از صفحات وب دستکاری‌شده، از این اشکال سوءاستفاده کند. سوء‌استفاده‌ی موفقیت‌آمیز از این آسیب‌پذیری می‌تواند به یک مهاجم راه دور اجازه‌ی فاش‌کردن اطلاعات حساس را بدهد.
آسیب‌پذیری دیگر در این مرورگر، یک نقص افشای اطلاعات (CVE-2020-6824) است. این آسیب‌پذیری در فایرفاکس، هنگامی به‌وجود می‌آید که کاربر یک پنجره‌ی مرور خصوصی را باز کرده و گذرواژه‌ای را برای یک سایت ایجاد می‌کند. سپس پنجره‌ی مرور را بسته اما این مرورگر را باز نگه می‌دارد. یک مهاجم راه دور می‌تواند با بازبینی همان سایت و ایجاد یک گذرواژه‌ی جدید، از این آسیب‌پذیری سوءاستفاده کند.
آسیب‌پذیری گفته‌شده همچنین به مهاجمان این امکان را می‌دهد که کد دلخواه و هر دستور انتخابی را بر روی سیستم هدف اجرا کنند.
دو نقص دیگر با شدت بالا (CVE-2020-6825 و CVE-2020-6826)، مربوط به فساد حافظه هستند که به مهاجمان امکان اجرای کد دلخواه بر روی سیستم هدف را می‌دهند.
موزیلا همچنین یک نقص دارای شدت «متوسط» را نیز رفع کرد. این نقص مربوط به نوشتن خارج از محدوده، هنگام پردازش تصاویر بزرگتر از 4 گیگابایت در GMPDecodData است. برای بهره‌برداری از این نقص، مهاجم نیاز به فریب‌دادن کاربران برای بازکردن تصاویر با طراحی خاص دارد. پس از بهره‌برداری موفقیت‌آمیز، مهاجم می‌تواند کد دلخواه را روی سیستم هدف اجرا کند.
به کاربران توصیه می‌شود که در اسرع وقت نسبت به به‌روزرسانی مرورگرهای خود و ارتقاء آن‌ها به 75 Firefox و 68.7 Firefox ESR اقدام کنند.

طی هفته‌های اخیر، موارد متعددی از نشت اطلاعات مختلف از پایگاه‌های داده‌ی شرکت‌ها و سازمان‌های دولتی و خصوصی در فضای مجازی منتشر شد. این موارد در کنار سایر نمونه‌هایی که به طور خصوصی و مسئولانه به این مرکز گزارش می‌گردند و یا در رصد‌های مداوم کارشناسان مرکز ماهر شناسایی می‌شوند، ‌عمدتا متاثر از فهرست مشترکی از خطاها و ضعف‌های امنیتی در پیاده‌سازی و تنظیمات است. این ضعف‌ها باعث می‌شوند در برخی موارد دسترسی به داده‌های سازمان‌ها و کسب و کارها حتی نیاز به دانش پایه‌ای هک و نفوذ نداشته باشد و با یکسری بررسی‌ها و جستجوهای ساده داده‌ها افشا می‌شوند. لذا به‌‌منظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها اکیدا توصیه می‌گردد اقدامات زیر صورت پذیرد:

• عدم اتصال مستقیم پایگاه‌های داده به صورت مستقیم به شبکه اینترنت. تا حد امکان لازم است دسترسی مستقیم به پایگاه‌های داده از طریق اینترنت برقرار نگردد. یکی از مواردی که باعث این اشتباه بزرگ می‌شود روال پشتیبانی شرکت‌های ارائه دهنده راهکارهای نرم‌افزاری کاربردی است که برای انجام پشتیبانی 24*7، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانک‌های اطلاعاتی می‌کنند. در صورت اجبار شرکت‌ها و سازمان‌ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود.
• دقت در راه‌اندازی پایگاه‌های داده‌ به ویژه انواع پایگاه‌های داده‌ی NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده. لازم به توجه است بسیاری از موارد نشت اطلاعات مربوط به پایگاه‌های داده‌ای است که به طور موقت و جهت انجام فعالیت‌های موردی و کوتاه مدت راه‌اندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاه‌های داده هم‌تراز پایگاه‌های اصلی درنظر گرفته شود.
• بررسی و غیرفعال‌سازی قابلیت Directory Listing غیر ضروری در سرویس‌ دهنده‌های وب جهت جلوگیری از دسترسی به فایل‌ها.
• دقت در وضعیت دسترسی به دایرکتوری‌های محل بارگزاری داده‌ها و اسناد توسط کاربران وبسایت نظیر دایرکتوری‌های uploads و temp و ... .علاوه بر لزوم کنترل دسترسی‌ها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج گردند.
• سرویس دهنده‌ی رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra با توجه به انتشار عمومی آسیب‌پذیری‌های حیاتی و اکسپلویت‌های مربوطه طی یکسال گذشته مورد سواستفاده جدی قرار گرفته‌‌اند. در صورت استفاده از این سرویس‌دهنده‌ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله‌های امنیتی منتشر شده اطمینان حاصل گردد.
• از عدم دسترسی مستقیم از طریق اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLO، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال و ... اطمینان حاصل نمایید. این دسترسی‌ها لازم است از طریق سرویس VPN اختصاصی و یا بر اساس آدرس IP‌ مبدا مجاز محدود گردند.
• از نگهداری هرگونه نسخه پشتیبان از سیستم‌ها بر روی سرور وب خودداری نمایید.
• جهت اطمینان از عدم وجود دسترسی به سرویس‌ها و سامانه‌ها به صورت ناخواسته، نسبت به اسکن ساده‌ی سرویس‌های فعال بر روی بلوک‌های IP سازمان خود به صورت مداوم اقدام نموده و سرویس‌های مشاهده شده‌ی غیرضروری را از دسترسی خارج نمایید.

لازم به ذکر است این موارد به هیچ عنوان جایگزین فرایندهای کامل امن‌سازی و ارزیابی امنیتی نبوده و صرفا برطرف کننده شماری از ضعف‌های جدی مشاهده شده می‌باشند.

ارتقاء هر سیستمی، از جمله امنیت و حفاظت از داده‌های شهروندان نیازمند دریافت بازخوردها و تصحیح آن سیستم است. همچنین مطالبه‌گری صحیح، نقطه‌ی آغازین بهبود و اصلاح هر سیستمی است. پیرو پرسش‌هایی که در خصوص اخبار مربوط به افشاء داده‌های شهروندان از مرکز ماهر طرح می‌شود، این مرکز ضمن استقبال از مطالبه‌گری‌ها و حساسیت‌های شهروندان در خصوص این اخبار، لازم می‌داند تا نکات زیر را یادآوری نماید:

• مطابق بند 5-1 نظام ملی مقابله با حوادث فضای مجازی کشور: «مسوولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، بر عهده بالاترین مقام آن دستگاه خواهد بود.» به این ترتیب مسوولیت اصلی در پاسخ به سوالات امنیت بانک‌های داده و اطلاعات، در وهله اول بر عهده بالاترین مسوول دستگاه است
• مرکز ماهر بر اساس چارچوب‌های قانونی و ماموریت‌های محوله گزارش خود را در خصوص حوادث، صرفا برای مقامات مسوول ارسال می‌کند؛ هر چند پس از اتمام بحران این مرکز این حق را برای خود قائل است تا به تدوین گزارش‌هایی عمومی (با حفظ امنیت و حریم خصوصی داده‌ها ) اقدام نماید؛ تا به عنوان وظیفه ذاتی هر جزء از سیستم، با ارائه بازخوردهای مناسب گامی جهت ارتقاء و بهبود نظام حکمرانی داده بردارد.
• مرکز ماهر به این اصل اعتقاد دارد که مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشاء داده‌های شهروندان می‌شود، باید به صورت متمرکز و کاملا تخصصی، صرفا به یک مرکز مستقل دولتی واگذار شود تا امکان بررسی مستقل، بدون جانبداری، همراه با واکنش سریع و همچنین ایجاد زمینه مناسب برای اطلاع‌رسانی بموقع و باکیفیت همراه با انباشت دانش امنیت داده برای حفظ منافع ملی فراهم آید.
• مرکز ماهر بر اساس وظایف ذاتی و قانونی خود موارد متعددی از این دست را همواره کشف و یا از افراد دلسوزی که به صورت مسوولانه و صادقانه اطلاع‌رسانی می‌کنند دریافت می‌کند. تمام این موارد پس از بررسی‌های فنی جهت راستی‌آزمایی و استخراج شواهد و راهکار مقابله بر اساس چارچوب‌های قانونی به صورت محرمانه به صاحبان سرویس‌ها و داده‌ها اطلاع‌رسانی می‌شود و تلاش دارد تا در صورت نیاز برای مقابله با آن اقدام عملیاتی مناسب انجام دهد.
• دعوت همیشگی مرکز ماهر از تمام متخصصان و کارشناسان امنیت سایبری این است که در صورت مشاهده هرگونه افشاء غیرمجاز یا آسیب‌پذیری در سامانه‌های بومی آن را از طریق کانال‌های ارتباطی مرکز ماهر اطلاع‌رسانی نمایند. طبیعتا اعلام عمومی یک داده افشا شده یا یک آسیب‌پذیری امنیتی از طریق رسانه و شبکه‌های اجتماعی بدون اطلاع قبلی به خود قربانی یا به نهادهای مسوول مانند مرکز ماهر یا مرکز افتا ریاست جمهوری، حرکت سازنده و همراه با مسوولیت اجتماعی محسوب نمی‌شود.

در انتها به سازمان‌ها و دستگاه‌های مختلف یادآور می‌شود که «سکوت، پاسخ‌گویی مناسب نیست؛ بلکه تنها سرمایه اجتماعی را کاهش می‌دهد»؛ هرچند شهروندان و مطالبه‌گران از مرجع پاسخ‌گویی آگاهی نداشته باشند. امید می‌رود صاحبان بانک‌های اطلاعاتی که داده‌ها و اطلاعات شخصی مردم به صورت امانت در اختیار آنها است، نه تنها نسبت به حفظ این امانت و حریم خصوصی شهروندان، هم بر اساس قانون و هم بر اساس مسوولیت اجتماعی، حساسیت لازم را داشته باشند؛ بلکه با پاسخ‌گویی مناسب بتوانند امنیت روانی عمومی را نیز فراهم آورند.