گوگل در به‌روزرسانی ماه مارس سال 2020 خود بیش از 70 آسیب‌پذیری، از جمله یک نقص بحرانی در Media Framework را وصله کرده است.
این نقص بحرانی به عنوان بخشی از سطح وصله‌ی امنیتی 01-03-2020 که در مجموع 11 آسیب‌پذیری در framework، Media framework و سیستم را برطرف می‌سازد، وصله شده است
این آسیب‌پذیری بحرانی، یک نقص اجرای کد راه‌دور است که با شناسه‌ی CVE-2020-0032 ردیابی می‌شود و دستگاه‌هایی که نسخه‌های 8.0، 8.1، 9 و 10 را اجرا می‌کنند، تحت‌تأثیر قرار می‌دهد. این نقص به یک مهاجم راه‌دور اجازه می‌دهد با استفاده از یک فایل ساختگی خاص، کد دلخواه را در متن یک فرایند ممتاز اجرا کند.
دو نقص دیگری که در Media Framework برطرف شده‌اند عبارتند از دو نقص افزایش امتیاز (CVE-2020-0033) و افشای اطلاعات (CVE-2020-0034). هر دوی این نقص‌ها از نظر شدت «بالا» رتبه‌بندی شده‌اند و تنها دستگاه‌هایی که Android 10 را اجرا می‌کنند، تحت‌تأثیر قرار می‌دهند.
باقی هفت آسیب‌پذیری برطرف‌شده در سطح وصله‌ی امنیتی 01-03-2020، سیستم و تمامی ویژگی‌ها را تحت‌تأثیر قرار می‌دهند و از شدت بالایی برخوردارند. این آسیب‌پذیری‌ها عبارتند از دو نقص افزایش امتیاز و پنج نقص افشای اطلاعات.
دومین بخش از مجموعه وصله‌های ماه مارس سال 2020 گوگل به صورت سطح وصله امنیتی 05-03-2020 برای دستگاه‌ها منتشر شده است و شامل 60 آسیب‌پذیری است. این نقص‌ها بر سیستم، اجزای هسته، FPC، MediaTek، Qualcomm و اجزای متن بسته‌ی Qualcomm اثر می‌گذارند.
آسیب‌پذیری که بر سیستم اثر می‌گذارد، یک آسیب‌پذیری افزایش امتیاز است که با شناسه‌ی CVE-2019-2194 ردیابی می‌شود و از شدت بالایی برخوردار است و بر دستگاه‌هایی که Android 9 را اجرا می‌کنند، اثر می‌گذارد.
تمامی چهار نقصی که بر اجزای هسته اثر می‌گذارند، می‌توانند منجر به افزایش امتیاز شوند. این آسیب‌پذیری‌ها بر USB، شبکه و اتصال‌دهنده تأثیر می‌گذارند.
در این سطح وصله‌ی امنیتی، شش آسیب‌پذیری در FPC Fingerprint TEE وصله شده‌اند که سه مورد از آن‌ها از شدت بالایی برخوردار هستند و منجر به افزایش امتیاز می‌شوند، در حالیکه سه مورد دیگر دارای شدت متوسطی هستند و سوءاستفاده از آن‌ها ممکن است منجر به افشای اطلاعات شود.
تمامی نقص‌های وصله‌شده در اجزای متن‌بسته‌ی Qualcomm در سطح وصله امنیتی 05-03-2020 از شدت بالایی برخوردار هستند. این نقص‌ها بر WLAN، USB، صوتی و گرافیک‌ها اثر می‌گذارند. در مجموع به 40 آسیب‌پذیری در اجزای متن بسته‌ی Qualcomm در بولتین امنیتی اندرویدی ماه مارس سال 2020 اشاره شده است که 16 مورد از آن‌ها از شدت بحرانی برخوردار هستند و مابقی از نظر شدت، «بالا» رتبه‌بندی شده‌اند.
آخرین آسیب‌پذیری وصله‌شده در سطح وصله امنیتی 05-03-2020، یک نقص با شدت «بالا» در اجزای MediaTek است که سوءاستفاده از آن ممکن است منجر به افزایش امتیاز شود. این نقص که با شناسه‌ی CVE-2020-0069 ردیابی می‌شود، در درایور MediaTek Command Queue وجود دارد. به گفته‌ی XDA-Developers، این آسیب‌پذیری ابتدا در ماه آوریل سال 2019 افشا شد و با وجود اینکه یک ماه بعد توسط Mediatek وصله شد، بیش از یک سال است که در میلیون‌ها دستگاه اندرویدی که دارای تقریباً دو دوجین تراشه‌ی MediaTek هستند، قابل سوءاستفاده است. حال این نقص توسط مجرمان سایبری تحت حملات فعال است. حال MediaTek به گوگل روی آورده است تا ایراد موجود در وصله‌اش را برطرف سازد و میلیون‌ها دستگاه را در برابر این سوءاستفاده‌ی امنیتی بحرانی ایمن سازد. سوءاستفاده‌ی دیپلماتیک، یک اسکریپت به نام “MediaTek-su” است که به کاربران دسترسی superuser در شل (shell) را اعطا می‌کند. این اسکریپت همچنین SELinux (ماژول هسته‌ی لینوکس که کنترل دسترسی را برای فرایندها فراهم می‌آورد) را بر روی حالت مجاز بسیار ناامن تنظیم می‌کند. حمله‌ی موفق ناشی از سوءاستفاده از این آسیب‌پذیری می‌تواند قابل توجه باشد. هر برنامه‌‌ای می‌تواند هر مجوزی که می‌خواهد را به خودش بدهد و با یک شل ریشه‌ای، تمامی فایل‌های دستگاه، حتی آنهایی که در شاخه‌های داده‌های شخصی برنامه‌ها ذخیره شده‌اند، قابل دسترسی هستند. از آنجاییکه این آسیب‌پذیری، یک آسیب‌پذیری سخت‌افزاری است نمی‌تواند با به‌روزرسانی هوایی گوگل برای سیستم‌عامل اندروید، وصله شود. اگر کاربری دارای تراشه‌ی MediaTek در دستگاه اندرویدی خود باشد، باید یک امنیت تلفن‌همراه به دستگاه خود اضافه کند تا تشخیص دهد دستگاهش چه زمانی توسط شخص ثالث root شده است و بدین طریق کاربر را از حملاتی که از این آسیب‌پذیری سوءاستفاده می‌کنند، حفظ کند. تیم‌های امنیتی و فناوری اطلاعات باید دستگاه‌های اندرویدی دارای تراشه‌های MediaTek که آسیب‌پذیر هستند را شناسایی کنند. اگر سازمانی دارای دستگاه آسیب‌پذیری باشد که توسط کارمندانش استفاده می‌شود، این دستگاه‌ها باید نظارت شده و در نهایت دستگاه دیگری جایگزینشان شود.
گوگل در ماه مارس سال 2020 همچنین یک بولتین امنیتی بزرگ برای دستگاه‌های Pixel منتشر ساخته است که بیش از 50 آسیب‌پذیری دیگر را که در دستگاه‌های گوگل که سطح وصله امنیتی 05-03-2020 و پس از آن را اجرا می‌کنند، وصله شده‌اند، توصیف می‌کند.
این آسیب‌پذیری‌ها شامل سه نقص در framework، چهار مورد در media framework، شانزده مورد در سیستم، 24 مورد در اجزای هسته، چهار مورد در اجزای Qualcomm و دو مورد در اجزای متن بسته‌ی Qualcomm هستند. این آسیب‌پذیری‌های برطرف‌شده، شامل نقص‌های اجرای کد راه‌دور، افزایش امتیاز و افشای اطلاعات هستند که اکثر آن ها از شدت متوسطی برخوردار هستند.

در راستای برنامه از قبل اعلام شده مرکز ماهر جهت رصد بانک‌های اطلاعاتی، نخستین گزارش این رصدها شامل ۳۶ پایگاه داده Elasticsearch فاقد احراز هویت شناسایی شده و مشخصات و اطلاعات آنها تحلیل شده است.این پایگاه داده ها مجموعا حاوی ۱۶.۸۵۳.۲۱۷ رکورد اطلاعاتی بوده‌اند که اطلاع‌رسانی به مالکان آن‌ها آغاز شده است. چنانچه مالک پایگاه داده مشخص نباشد اطلاع‌رسانی به میزبان پایگاه داده انجام می‌شود.مالکان این پایگاه‌های داده موظفند در اسرع وقت نسبت به از دسترس خارج نمودن آن‌ها اقدام کنند. رصد بعدی این پایگاه‌ها در تاریخ ۱۶ فروردین انجام خواهد شد و مواردی که تا آن زمان جمع‌آوری نشده باشند؛ به مراجع قضایی جهت پی‌گیری بعدی معرفی خواهند شد.

بدافزار موجود در وردپرس از طریق افزونه‌های غیرمجاز ویروس کرونا منتشر شده است. عاملان تهدید در پشت پرده بدافزار WP-VCD وردپرس، نسخه‌اصلاح شده افزونه‌های ویروس کرونا که به وبسایت backdoor تزریق می‌کند را منتشر می‌کنند. خانواده آلودگی‌های WP-VCD به صورت افزونه‌های پوچ یا غیرمجاز وردپرس منتشر می‌شوند که حاوی کد اصلاح شده‌ای است که یک Backdoor را به هر theme نصب شده در وبلاگ و همچنین فایلهای مختلف PHP تزریق می‌کند.
هنگامی که سایت وردپرس توسط WP-VCD در معرض خطر قرار بگیرد، بدافزار تلاش می‌کند سایر سایت‌ها روی host مشترک را به خطر بیندازد و می‌تواند مجدداً به سرور فرمان و کنترل (C2) خود متصل شده تا دستورالعمل‌های جدیدی برای اجرا دریافت کند. هدف نهایی این افزونه مخرب استفاده از سایت وردپرس به خطر افتاده برای نمایش popupها و ایجاد تغییر مسیرهایی که برای عاملان تهدید درآمد ایجاد می‌کند، می‌باشد.

1 افزونه غیرمجاز ویروس کرونا WP-VCD را منتشر می‌کند.
اخیراً گروه MalwareHunter نمونه‌هایی از افزونه‌های وردپرس با BleepingComputer که درVirusTotal با نام Trojan.WordPress.Backdoor.A نام‌گذاری شده‌اند را منتشرکرد.
این افزونه‌های وردپرس، فایل‌های zip هستند که حاوی افزونه‌های تجاری معتبر به نام « COVID-19 Coronavirus – افزونه نقشه زنده وردپرس»، « نمودارهای پیش بینی گسترده Coronavirus » و«covid-19» بودند.

پس از اینکه BleepingComputer آنها را تجزیه و تحلیل کرد، مشخص شد که افزونه‌ها حاوی فایل class.plugin-modules.php هستند. همچنین این فایل حاوی یک کد مخرب و رشته‌های مختلف رمزنگاری شده با پایه 64 است که معمولاً با افزونه‌های WP-VCD همراه هستند.

پس از نصب افزونه، از کد PHP رمزنگاری شده با پایه 64 در متغیر WP_CD_CODE که در بالا نشان داده شد استفاده کرده و آن را در /wp-includes/wp-vcd.php ذخیره می‌کند. سپس کد را به فایل /wp-includes/post.php اضافه می‌کند؛ به طوری که با هر بار بارگذاری صفحه در سایت، به طور خودکار wp-vcd.php بارگیری شود.

همچنین افزونه کلیه themeهای نصب شده را جستجو کرده و به هر فایل theme functions.php کد PHP رمزنگاری شده با پایه 64 دیگر اضافه می‌کند.

با این تغیرات فایل، کد WP-VCD مجدداً به سرور C2 متصل می‌شود تا دستوراتی را برای اجرا در host وردپرس دریافت کند. این دستورات عموماً برای تزریق کدی که تبلیغات مخرب را روی سایت نمایش می‌دهد یا به سایت‌های دیگر تغییر مسیر انجام می‌دهد، استفاده می‌شوند.
2 محافظت از سایت در برابر WP-VCD
همانطور که بد‌افزار WP-VCD توسط افزونه‌های غیرمجاز وردپرس منتشر می‌شود، بهترین راه جلوگیری از آن این است که از سایت‌های غیرمجاز افزونه بارگیری نشود. از آنجا که افزونه‌ها می‌توانند به راحتی توسط هر کسی که دارای دانش کمی PHP است اصلاح ‌شوند، بارگیری و نصب افزونه‌های غیرمجاز همیشه یک فعالیت خطرناک است. اکیداً توصیه می‌شود که افزونه‌های وردپرس فقط از سایت‌های مجاز نصب شود و هیچ افزونه غیرمجاز نصب نشود زیرا به خطر افتادن سایت احتمال بالایی دارد.

مایکروسافت یک به‌روزرسانی نرم افزاری برای وصله کردن آسیب‌پذیری بسیار خطرناک در پروتکل SMBv3 که امکان اجرای بدافزارهای کرم‌مانند توسط مهاجمان را فراهم می‌کرد، منتشر کرده است. این بدافزارها به صورت خودکار از یک سیستم آسیب‌پذیر به سیستم دیگر منتشر می‌شوند. آسیب‌پذیری بحرانی با شناسه CVE-2020-0796 به مهاجمی که با موفقیت از آسیب‌پذیری بهره‌برداری کرده است امکان اجرای کد را در سرور یا سیستم کاربر هدف می‌دهد.
مهاجم بدون نیاز به احراز هویت می‌تواند با ارسال بسته‌ی آلوده به سرور SMBv3 از آسیب‌پذیری بهره‌برداری کند؛ برای بهره‌برداری از آن در سیستم کاربر نیز مهاجم می‌تواند یک سرور SMBv2 مخرب را پیکربندی و تنطیم کرده و کاربر را متقاعد کند تا به سرور مخرب متصل شود.
در این به‌روز‌رسانی امنیتی (به آدرس زیر) چگونگی مدیریت این درخواست‌های مخرب توسط پروتکل SMBv3 اصلاح شده است.

https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4551762

در صورت استفاده از هر کدام از محصولات زیر نسبت به نصب وصله امنیتی فوق اقدام کنید.
 

محققان امنیتی از یک آسیب‌پذیری بحرانی اجرای کد از راه دور (remote code execution) در سیستم عامل مبتنی بر لینوکس OpenWrt پرده برداشتند که به مهاجمان اجازه می‌دهد تا پی‌لود[ payload] مخرب را در سیستم‌عامل‌های آسیب‌پذیر تزریق کنند.
OpenWrt یک سیستم‌عامل مبتنی بر لینوکس است که عمدتا در دستگاه‌ها و روترهای شبکه برای مسیریابی ترافیک شبکه مورد استفاده قرار می‌گیرد و بر روی میلیون‌ها دستگاه در سراسر جهان نصب شده است.
این آسیب‌پذیری در تجزیه لیست پکیج‌های opkg سیستم‌عامل OpenWrt (Opkg Package Manager) به مدیر بسته اجازه می‌دهد تا SHA-256 checksums تعبیه شده در شاخص repository امضا شده را نادیده بگیرد و به دنبال آن، مهاجم می‌تواند بررسی صحت و درستی .ipk artifacts دانلود شده را دور بزند.
محققی به نام GuidoVranken توضیح داد که هنگام آماده‌سازی یک تسک Mayhem برای opkg، این آسیب‌پذیری را به طور اتفاقی کشف کرده است. Mayhem می‌تواند داده‌ها را از طریق یک فایل یا از طریق یک سوکت شبکه ارائه دهد.
فرآیند اکسپلویت آسیب‌پذیری RCE در OpenWRT:
برای اکسپلویت آسیب‌پذیری ذکر شده، مهاجم به ارائه پکیج‌های ناقص از وب سرور نیاز دارد. او همچنین به رهگیری ارتباط بین دستگاه و downloads.openwrt.org و یا کنترل سرور DNS ای که توسط دستگاه برای ساخت downloads.openwrt.org برای یک وب سرور کنترل شده توسط مهاجم استفاده می‌شود، نیاز دارد.
در حقیقت، opkg در OpenWrt به صورت root اجرا می‌شود که امکان نوشتن در تمام سیستم‌فایل‌ها و تزریق از راه دور کد دلخواه با پکیج‌های .ipk ساختگی با یک پی‌لود مخرب را به مهاجمان می‌دهد.
به آسیب‌پذیری مذکور شناسه " CVE-2020-7982 " اختصاص داده شده است و در حال حاضر در آخرین نسخه OpenWrt وصله شده و در اختیار کاربران قرار گرفته است.

دو آسیب پذیری روز صفر در کتابخانه پردازش فونت در سیستم‌های عامل ویندوز در تاریخ 23 مارچ 2020 توسط Microsoft انتشار پیدا کرده است، که در صورت سوءاستفاده موفقیت آمیز به نفوذگر راه دور این امکان را می دهد تا کنترل کامل سیستم قربانی را بدست آورد. هر دو آسیب پذیری درWindows Adobe Type Manager library شناسایی شده اند. این کتابخانه که وظیفه پردازش فونت را برعهده دارد، حتی توسط Windows Explorer برای نمایش محتوای یک فایل در "Preview Pane" یا "Details Pane" بدون باز کردن آن توسط کاربر اجرا می شود. این آسیب پذیری زمانی رخ می دهد که قربانی به واسطه Windows Adobe Type Manager Library فونتی را که توسط نفوذگر دستکاری شده و با فرمت (Adobe Type 1 PostScript) ذخیره شده را باز نموده و یا توسط Windows Preview Pane آن را مشاهده کند.

با توجه به شرایط کنونی کشور و افزایش استفاده از سامانه های آموزش مجازی و جلسات آنلاین، ضروری است که برقراری امنیت این سامانه ها و زیر ساخت مورد استفاده مورد توجه مدیران و کارشناسان امر قرار گیرد. یکی از رایج ترین نرم افزارهای کاربردی در این حوزه Adobe Connect می باشد. متاسفانه در اغلب سامانه های تحت رصد، مشاهده شده است که سامانه بدون تعریف کاربر و اخذ گذرواژه در درسترس است به گونه ای که هر کسی می تواند صرفا با وارد کردن URL سرور و با ورود شماره اتاق جلسه مجازی یا کلاس مجازی وارد شود که منجر به افشا اطلاعات خواهد شد. بنابراین توجه به نکات زیر جهت حفظ امنیت سامانه های مبتنی بر این نرم افزار توصیه می گردد:

- پرهیز جدی از در دسترس قرار دادن سامانه بدون استفاده از اطلاعات نام کاربری و رمز عبور و تعیین سیاست های استفاده از پسورد قوی جهت ورود به سامانه. مدیر سامانه می تواند سیاست های امنیتی لازم را برای شیوه ورود و گذرواژه کاربران در Adobe Connect Central تعیین کند. همچنین ضروری است که تعداد دفعات تلاش ورود ناموفق حتما محدود گردد.

- عدم استفاده از کاربر guest.

- استفاده از SSL جهت حفظ امنیت ترافیک شبکه و همچنین پرهیز از اجبار کاربران به پایین آوردن تنظیمات امنتی یا نسخه مرورگر برای پرهیز از نیاز به SSL.

- عدم راه اندازی سایر سرویس ها بر روی سرور Adobe Connect: توصیه می گردد سرور Adobe Connect به صورت مجزا راه اندازی شود و سرویس های دیگر نظیر domain controller، سرویس دهنده web و یا سرور FTP بر روی ماشین سرور میزبان Adobe Connect اجرا نشوند.

- بروزرسانی و نصب وصله های امنیتی برنامه و سیستم عامل میزبان.

- امن سازی سیستم عامل و استفاده از firewall بر روی سرور میزبان و بستن پورت های بدون استفاده همچنین محدود کردن دسترسی به آدرس های داخل کشور.

- تهیه پشتیبان از اطلاعات و پایگاه داده به صورت اصولی. باید توجه داشت که ویدیوهای تهیه شده از جلسات می توانند حاوی اطلاعاتی ارزشمند باشند و برای مخاطبینی که به هر دلیل موفق به حضور آنلاین نمی شوند مورد استفاده قرار گیرند. البته این کار باید با تمهیدات امنیتی مناسب انجام شود.

- بررسی دوره ای امنیت سیستم و فایلهای لاگ جهت اطمینان از برقراری سیاست های امنیتی و تشخیص هرگونه ناهنجاری یا تلاش برای نفوذ.

دانلود گزارش کامل

#‫آسیب‌پذیری‌های متعدد امنیتی در #‫سیسکو بر روی نرم‌افزار‌های Cisco FXOS، Cisco NX-OS و Cisco UCS Manager به یکی از دلایل عدم تأییداعتبار ورودی، ارسال آرگومان‌های ساختگی به یک‌سری دستورات خاص‌ توسط مهاجم و یا امکان ایجاد سرریز بافر، به مهاجم امکان اجرای کد دلخواه با مجوز‌های دسترسی کاربر فعلی سیستم را می‌دهد.
اخیراً چندین آسیب‌پذیری امنیتی مهم و بحرانی در تجهیزات سیسکو کشف شده است که به مهاجمین اجازه می‌دهد دستورات دلخواه را با همان دسترسی کاربر مجاز اجرا کنند. این آسیب‌پذیری بر روی نرم‌افزار Cisco FXOS، نرم‌افزار Cisco NX-OS و نرم‌افزار Cisco UCS Manager تأثیر می‌گذارد.

Cisco FXOS و UCS Manager – CLI
آسیب‌پذیری در CLI نرم‌افزار Cisco FXOS و نرم‌‍‌افزار Cisco UCS Manager Cisco به یک مهاجم احرازهویت‌شده‌ی محلی اجازه می‌دهد تا دستورات دلخواه را بر روی دستگاه کاربر اجرا کند.
این آسیب‌پذیری که به دلیل عدم تأییداعتبار ورودی است، با بهره‌برداری موفقیت‌آمیز به مهاجم اجازه می‌دهد تا دستورات دلخواه را در سیستم عامل اصلی با سطح مجوز‌های دسترسی حال‌حاضر کاربر، اجرا کند.
سیسکو به‌روزرسانی‌های امنیتی را برای اعلام این آسیب‌پذیری به‌عنوان بخشی از مشاوره‌ی امنیت نرم‌افزاری NX-OS در فوریه 2020، منتشر کرده است.

Cisco FXOS و UCS Manager Software CLI
این آسیب‌پذیری در CLI نرم‌افزار Cisco FXOS و نرم‌افزار Cisco UCS Manager وجود دارد که به یک مهاجم احرازهویت‌‍‌شده‌ی محلی اجازه می‌دهد دستورات دلخواه را اجرا کند.
یک مهاجم می‌تواند با ارسال آرگومان‌های ساختگی به یک‌سری دستورات خاص‌، از این آسیب‌پذیری بهره‌برداری کند که اگر این فرآیند موفقیت‌آمیز باشد به مهاجم این امکان را می‌دهد تا دستورات دلخواهی را در سیستم‌عامل اصلی با مجوز‌های کاربر فعلی، اجرا کند.
سیسکو به‌روزرسانی‌های امنیتی را برای اعلام این آسیب‌پذیری به‌عنوان بخشی از مشاوره‌ی امنیت نرم‌افزاری NX-OS در فوریه 2020، منتشر کرده است.

Cisco FXOS و NX-OS نرم‌افزار - اجرای کد دلخواه
این آسیب‌پذیری به مهاجمی که احزارهویت نشده‌است اجازه می‌دهد تا کد دلخواه را با سطح دسترسی روت اجرا کند یا باعث شرایط منع از سرویس(DoS) شود.
بررسی این آسیب‌پذیری نشان می‌دهد که یک بهره‌برداری موفقیت‌آمیز، مهاجم را قادر به ایجاد سرریز بافر می‌کند و این امر به او اجازه می‌دهد کد دلخواه را با سطح دسترسی روت اجرا کند و یا باعث ایجاد شرایط DoS در دستگاه آسیب‌دیده شود.
سیسکو به‌روزرسانی‌های امنیتی را برای اعلام این آسیب‌پذیری نیز به‌عنوان بخشی از مشاوره‌ی امنیت نرم‌افزاری NX-OS در فوریه 2020، منتشر کرده است.

اخیراً #‫آسیب‌پذیری بحرانی سرریز بافر که در pppD (Point to Point Protector Daemon)کشف شده‌است به مهاجمین از راه ‌دور، اجازه می‌دهد از سیستم‌های لینوکس بهره‌برداری کنند و مجوز‍‌های دسترسی روت را بدست‌آورند.
pppD که اغلب برای مدیریت اتصالات شبکه در سیستم‌عامل‌های مبتنی بر یونیکس مورد استفاده قرار می‌گیرد، همچنین اگر (PPPoE) یا (PPPoA) استفاده شود، از آن برای مدیریت اتصالات پهن‌باند مانند DSL استفاده می‌شود.
یک محقق این آسیب‌پذیری مهم که در پردازش بسته‌های پروتکل تأیید اعتبار گسترش‌پذیر (EAP) وجود دارد را در pppd پیدا کرده است.
یک مهاجم غیرمجاز از راه دور ممکن است با بهره‌برداری از این آسیب‌پذیری بتواند باعث سرریز بافر در پشته شود و به مهاجمین این امکان را می‌دهد که از راه دور بر فرآیند اجرای کد چیره‌ شوند و کد دلخواه را بر روی سیستم هدف اجرا کنند.
ایلجا وان اسپروندل این آسیب‌پذیری را که با شناسه CVE-2020-8597 شناخته می‌شود و با امتیاز CVE 9.3 شناخته‌می‌شود، کشف کرده است. GBHackers در حال حاضر هیچ اکسپلویت‌کد یا کد‌مخربی را برای این آسیب‌پذیری به صورت آنلاین پیدا نکرده است.
در نسخه‌های 2.4.2 تا 2.4.8 نسخه‌های مختلف لینوکس، اجرای این آسیب‌پذیری با پروتکل pppd، تأیید شده‌است.
   • Debian GNU/Linux
   • Fedora Project
   • Red Hat
   • SUSE Linux
   • Ubuntu
همچنین، شرکت‌های زیر در مورد آسیب‌پذیری اجرای کد از راه دور pppD، به‌روزرسانی می‌شوند.
   • Cisco
   • NetBSD
   • OpenWRT
   • Synology
   • TP-LINK

علت اصلی آسیب‌پذیریpppD
آسیب‌پذیری سرریز بافر به‌دلیل خطا در اعتبارسنجی اندازه‌ی ورودی قبل از کپی‌کردن داده های تهیه‌شده در حافظه، بر چندین بخش از لینوکس تأثیر گذاشته است.
اعتبارسنجی نادرست اندازه‌ی داده‌های ورودی، منجر به کپی‌کردن اطلاعات دلخواه در حافظه و باعث خرابی حافظه می‌شود که به مهاجمین اجازه‌ی اجرای کد دلخواه را از راه دور می‌دهد.
از آنجا که داده‌ها تأیید نشده و اندازه‌ی آن‌ها نیز ناشناخته است، این آسیب‌پذیری حافظه‌ی سیستم قربانی را از کار می‌اندازد. همچنین بوسیله‌ی اجرای بالقوه‌ی کد دلخواه در سیستم، PPP با سطح مجوز دسترسی بالایی اجرا می‌شود و با همکاری درایور‌های هسته(Kernel) به مهاجمین اجازه می‌دهد از مجوز‌های دسترسی روت برخوردار شوند.

#‫آسیب‌پذیری در اجرای SSL مربوط به Intelligent Proximity سیسکو، یک مهاجم غیر مجاز را قادر می‌سازد تا از راه دور اطلاعاتی را که در دستگاه‌های ویوئو کنفرانس Webex سیسکو به اشتراک گذاشته شده است را مشاهده کرده و یا تغییر دهد.
شناسه این آسیب‌پذیری "CVE-2020-3155" و با شدت بالا گزارش شده است.
آسیب‌پذیری فوق، ناشی از عدم اعتبارسنجی گواهی‌نامه (certificate) سرور SSL است که هنگام برقراری ارتباط با یک دستگاه ویدئو کنفرانس Webex سیسکو و یا collaboration endpoint سیسکو دریافت شده است. یک مهاجم می‌تواند با استفاده از تکنیک‌های man in the middle برای رهگیری ترافیک بین کلاینت آسیب‌دیده و یک نقطه پایانی (endpoint) و سپس با استفاده از یک certificate جعلی به منظور جعل هویت نقطه پایانی، این آسیب‌پذیری را مورد اکسپلویت قرار دهد. بسته به تنظیمات نقطه پایانی، یک اکسپلویت می‌تواند به مهاجمان اجازه دهد تا محتوای ارائه شده و به اشتراک گذاشته شده بر روی آن را مشاهده کنند، محتوایی که توسط قربانی ارائه شده است را تغییر دهند و یا به کنترل‌های تماس دسترسی داشته باشند.

محصولات آسیب‌پذیر
در صورتیکه محصولات سیسکو، یک نرم‌افزار آسیب‌پذیر در حال اجرا داشته باشند و قابلیت Proximity در آنها برای اتصال به دستگاه‌های داخلی فعال شده باشد تحت تآثیر این آسیب‌پذیری قرار دارند. محصولات آسیب‌پذیر عبارتند از:
   • برنامه هوشمند Proximity سیسکو
   • Jabber سیسکو
   • Webex Meetings
   • Webex Teams
   • برنامه Meeting سیسکو
با توجه به اینکه تمام نسخه‌های این نرم‌افزارها تحت تآثیر آسیب‌پذیری ذکر شده قرار می‌گیرند، در حال حاضر سیسکو هیچ گونه بروزرسانی نرم‌فزاری را برای رفع این آسیب‌پذیری منتشر نکرده است.
تشخیص فعال بودن قابلیت Proximity بر روی کلاینت‌ها
درکلاینت‌هایی با نرم‌افزارهای ذکر شده در بالا، در صورتیکه در زمان پیکربندی، قابلیت Proximity در آنها فعال شده باشد، تحت تآثیر این آسیب‌پذیری قرار می‌گیرند. با این حال برای یک مهاجم که در صدد اکسپلویت این آسیب‌پذیری است، یک نقطه پایانی نیز باید قابلیت Proximity را فعال کرده باشد.

Jabber سیسکو
دو روش برای تعیین فعال بودن Proximity در Jabber سیسکو وجود دارد:
   1. در فایل پیکربندی Jabber یعنی jabber-config.xml، اگر دستور زیر وجود نداشته باشد این قابلیت فعال است:

false

   2. در تنظیمات این برنامه، به بخش Video Device بروید. اگر به صورت خودکار به نزدیکترین دستگاه متصل شد بدین معنی است که قابلیت مذکور در آن فعال است.

Cisco Webex Meetings
در تنظیمات پیشرفته این برنامه، به بخش Video Systems بروید. در صورت تشخیص خودکار دستگاه‌های مجاور، این ویژگی فعال است.

Cisco Webex Teams
از مرکز کنترل Webex سیسکو به بخشSettings و سپس Device Discovery مراجعه کنید. در صورتیکه برنامه Webex Teams، اجازه اتصال به دستگاه ثبت‌شده داخلی انتخاب شده را بدهد، نشان‌دهنده فعال بودن این قابلیت است.

برنامه Meeting سیسکو
قابلیت Proximity همواره فعال است و امکان غیرفعال کردن آن وجود ندارد.

راه‌حل
در حال حاضر هیچ راه‌حلی جهت رفع این آسیب‌پذیری ارائه نشده است. اما می‌توان توصیه‌های امنیتی زیر را اعمال کرد:
   • غیرفعال کردن قابلیت Proximity Pairing
   • غیرفعال کردن این قابلیت در دستگاه‌های ویدئویی Webex و Collaboration Endpoint سیسکو
   • غیرفعال کردن تشخیص خودکار Collaboration Endpoint در کلاینت‌های Proximity
   • انتقال از Collaboration به Cloud