مشاهدات حاکی از آن است که با توجه به شرایط موجود و تعطیلات پیش رو، مدیران شبکه و زیرساخت های فناوری اطلاعات به طور فزاینده ای به دورکاری روی آورده اند و کاربرد پروتکل RDP و سایر پروتکل های دسترسی از راه دور افزایش یافته است.

در این بازه علاوه بر رعایت دقیق تر مواردی که برای ایام تعطیلات طولانی توصیه می گردد، از جمله تهیه نسخ پشتیبان قابل اعتماد، بررسی فایل های log و ... که در پیوست 1 مورد تاکید قرار گرفته است، به طور موکد توصیه می شود که به دلیل تمرکز ویژه مهاجمین بر روی نفوذ به سرویس RDP و مخاطراتی از جمله حملات باج افزاری، اکیدا از استفاده از این سرویس بصورت حفاظت نشده بر بستر شبکه ی اینترنت پرهیز گردد.

در ادامه، ملاحظاتی به شرح ذیل بمنظور ارتقای امنیت سیستم ها در این بازه زمانی پیشنهاد می گردد.

تمهیدات امنیتی که ضروری است در ایام تعطیلات مد نظر قرار گیرند:

1. تهیه منظم نسخه های پشتیبان از اطلاعات بر روی رسانه های متعدد و انجام آزمون صحت پشتیبان گیری در هر مرحله و موکداً نگهداری اطلاعات پشتیبان بصورت غیر بر خط.
2. هوشیاری کامل جهت بررسی دقیق رویدادهای ثبت شده مخصوصا رویدادهای ورود به سیستم در ساعات غیر متعارف.
3. توجه و بررسی فهرست کاربران و سطح دسترسی آنها به صورت دوره ای
4. آزمایش و انجام به روزرسانی و نصب وصله های امنیتی ارائه شده.

در استفاده از سرویس های دسترسی از راه دور، اتخاذ تمهیدات امنیتی همچون موارد زیر همواره باید مد نظر قرار گیرد:

1. اجبار نرم افزاری به تنظیم و استفاده از رمز عبور پیچیده
2. اجبار نرم افزاری به تغییر دوره ای رمز عبور توسط مدیران و کاربران سیستمها
3. عدم استفاده از رمز های عبور تکراری
4. محدود سازی تعداد دفعات مجاز تلاش ناموفق جهت ورود به سیستم
5. محدودسازی آدرس مبدا قابل قبول برای اتصال از طریق لیست دسترسی یا سایر تمهیدات
6. استفاده از VPN و ایجاد تونل های ارتباطی امن نظیر IPSec جهت کنترل و مدیریت ارتباطات
7. خودداری از قرار دادن آدرس IP عمومی بصورت مستقیم برروی سرویس دهنده ها
8. استفاده از احراز هویت 2مرحله ای جهت استفاده از سرویس های دسترسی از راه دور
9. دقت در عدم آلودگی رایانه مبدا ارتباط مخصوصا رایانه شخصی

لازم به ذکر است که دو ویدیو آموزشی با عناوین "ایمن سازی سرویس RDP با استفاده نرم افزار RDS Knight" و "احراز هویت دومرحله ای در سرویس ریموت دسکتاپ" در آدرس های https://www.aparat.com/v/Q8z0u و https://www.aparat.com/v/ZUndJ برای راهنمایی در انجام برخی از امور فوق الذکر قرار گرفته است.

در انتها یادآور می گردد که مرکز ماهر در طی ایام تعطیلات نیز از راه های ارتباطی زیر آماده دریافت گزارشات و درخواست ها است:

تلفن مرکز ماهر : 42650000-021

نمابر : 22115951-021

پست الکترونیک:

ارسال گزارش رخداد و درخواست امداد: report@cert.ir

آسیب پذیری مذکور در تاریخ 10 مارس 2020 توسط شرکت مایکروسافت منتشر شده است که از نوع RCE میباشد. مهاجم می تواند با ارسال یک پکت خاص به سمت سرور با سرویس دهنده SMBv3 آسیب پذیر، از آن سوءاستفاده نماید. همچنین درمورد کاربران Client، مهاجم باید قربانی را متقاعد کند تا با یک سرور مخرب که توسط مهاجم پیکربندی شده است ارتباط برقرار کند. سوء استفاده مهاجم از آسیب پذیری مذکور به او این امکان را میدهد تا کد دلخواه خود را بر روی سیستم قربانی اجرا کند.

دانلود گزارش

اخیراً #‫بدافزار جدیدی با ایجاد backdoor از طریق هشدار‌های جعلی گواهی امنیتی منتشر می‌شود. این تکنیک جدید قربانیان را هنگام بازدید از سایت‌ها مجبور به نصب یک به‌روز‌رسانی گواهی امنیتی مخرب می‌کند.
صادر کننده‌های گواهی‌ امنیتی (CA)، گواهی‌ نامه‌های امنیتی SSL/TLS را برای بهبود امنیت آنلاین با ایجاد رمزنگاری کانال‌های ارتباطی بین مرورگر و سرور -مخصوصاً برای دامنه‌های ارائه دهنده خدمات تجارت الکترونیکی- و تایید هویت (برای ایجاد اعتماد در یک دامنه) منتشر می‌کند.
با وجود نمونه‌های سوءاستفاده از گواهی امنیتی، کلاهبرداری و جا زدن مجرمان سایبری به عنوان مدیران اجرایی برای به دست آوردن گواهی‌های امنیتی برای امضای دامنه‌های تقلبی یا بارگذاری بدافزار، رویکرد جدید فیشینگ در حال سوءاستفاده از مکانیزم گواهی‌های امنیتی است.

درباره بدافزار
اخیراً محققان امنیتی از شرکت Kaspersky گزارش دادند این تکنیک جدید در انواع سایت‌ها مشاهده شده‌ و اولین تاریخ سوءاستفاده آن در تاریخ 16 ژانویه 2020 گزارش شده است.
قربانیان هنگام بازدید از سایت‌ها با صفحه زیر روبرو می‌شوند:

این پیغام ادعا می‌کند که تاریخ اعتبار گواهی امنیتی سایت به پایان رسیده است، و از قربانیان خواسته می‌شود یک به‌روزرسانی گواهی امنیتی را برای رفع این مشکل نصب کنند.
این پیغام شامل یک iframe است و محتوای آن از طریق یک اسکریپت jquery.js از یک سرور کنترل و فرمان شخص ثالث بارگیری می‌شود؛ در حالی که نوار URL هنوز آدرس دامنه مجاز را نمایش می‌دهد.
طبق گفته محققان اسکریپت jquery.js، یک iframe که دقیقاً اندازه صفحه است را نمایش می‌دهد. در نتیجه کاربر به جای صفحه اصلی، یک صفحه ظاهراً واقعی را مشاهده می‌کند که خواستار نصب یک به‌روزرسانی گواهی امنیتی است.
اگر قربانی روی گزینه به‌روزرسانی کلیک کند، بارگیری فایل Certificate_Update_v02.2020.exe آغاز می‌شود. پس از نصب آن، مهاجم یکی از دو نوع نرم‌افزارهای مخرب Mokes یا Buerak را در سیستم قربانی اجرا می‌کند.
بدافزار Mokes یک backdoor برای macOS/Windows است، که توسط شرکت امنیت سایبری پیشرفته شناخته شده است، و قادر به اجرای کد، گرفتن screenshot، سرقت اطلاعات رایانه ای از جمله فایل‌ها،
فایل‌های صوتی و فیلم‌ها، ایجاد یک backdoor و استفاده از رمزنگاری AES-256 برای پنهان کردن فعالیت‌های خود است. تروجان Buerak نیز یک تروجان تحت ویندوز است که قادر به اجرای کد، دستکاری فعالیت‌های در حال اجرا و سرقت محتوا است؛ این تروجان پایداری خود را از طریق کلید‌های رجیستری حفظ کرده و روش‌های مختلف آنالیز و تکنیک‌های sandboxing را تشخیص می‌دهد.
در هفته اخیر، سازمان صادر کننده گواهی امنیتی Let's Encrypt اعلام کرد که قصد ابطال بیش از سه میلیون گواهی امنیتی به دلیل باگ در کد پس زمینه که باعث می‌شود سیستم‌های کنترل از بررسی‌ فیلد‌هایCAA چشم‌پوشی کنند، را دارد. اکنون خطای برنامه نویسی رفع شده است، اما صاحبان دامنه‌های قربانی باید درخواست دامنه‌های جدید بدهند.
منبع:

https://www.zdnet.com/article/backdoor-malware-is-being-spread-through-fake-security-certificate-al…

یک #‫آسیب‌پذیری روز صفرم بحرانی که سرویس‌های Verisign و IaaS متعددی مانند گوگل، آمازون DeigitalOcean را تحت تاثیر قرار می‌دهد امکان ثبت دامنه‌های مخرب homograph توسط مهاجمان را فراهم می‌کند. ثبت موفقیت‌آمیز این دامنه‌ها که ظاهری مشابه دامنه‌ها و زیردامنه های شناخته شده دارند، منجر به حملاتی مشابه IDN Homograph attack و یا مهندسی اجتماعی کاربران خواهد شد.
به گفته محققان دامنه‌های homograph متعددی که گواهینامه‌های HTTPS نیز دارند، از سال 2017 فعال بوده و اغلب ظاهری مشابه دامنه‌های مربوط به خرید اینترنتی، تکنولوژی و غیره دارند. تعداد زیادی از این دامنه‌ها را می‌توان با استفاده از کاراکترهایی که ظاهر مشابه و معنی متفاوت دارند، تولید کرد. محقق امنیتی در Soluble به نام Matt Hamilton دامنه‌های زیر را به ثبت رسانده است:

• amɑzon.com
• chɑse.com
• sɑlesforce.com
• ɡmɑil.com
• ɑppɩe.com
• ebɑy.com
• ɡstatic.com
• steɑmpowered.com
• theɡuardian.com
• theverɡe.com
• washinɡtonpost.com
• pɑypɑɩ.com
• wɑlmɑrt.com
• wɑsɑbisys.com
• yɑhoo.com
• cɩoudfɩare.com
• deɩɩ.com
• gmɑiɩ.com
• gooɡleapis.com
• huffinɡtonpost.com
• instaɡram.com
• microsoftonɩine.com
• ɑmɑzonɑws.com
• ɑndroid.com
• netfɩix.com
• nvidiɑ.com
• ɡoogɩe.com

دامنه های homograph فوق تا حد زیادی مشابه دامنه‌های اصلی هستند و این موضوع می‌تواند موجب گمراهی کاربر شود؛ همچنین با به کارگیری مهندسی اجتماعی توسط مهاجمان می‌تواند برای نصب بدافزار و یا سرقت اطلاعات مورد استفاده قرار گیرد. ثبت دامنه‌های فوق نشان می‌دهد که ثبت دامنه‌هایی که ترکیبی از کاراکترهای لاتین و Unicode هستند درصورت لاتین بودن خود کاراکتر Unicode امکان‌پذیر است.
این آسیب‌پذیری همه‌ی Verisignهایی که از هر نوع سرویس TLD (با امکان پشتیبانی از کاراکترهای لاتین IPA نظیر gTLD) استفاده می‌کنند را تحت تاثیر قرار می‌دهد. از آنجایی که موارد متعددی از گواهینامه HTTPS از طریق Certificate Transparency شناسایی شدند و یک کتابخانه غیررسمی جاوااسکریپت نیز به عنوان یک دامنه حساس به ثبت رسیده، می‌توان این آسیب‌پذیری را یک آسیب‌پذیری روز صفرم تلقی کرد.
منبع:

https://gbhackers.com/homograph-domains/

نقض بحرانی در سرویس PPP Daemon لینوکس، اجرای دستورات مخرب از راه دور را برای مهاجم فراهم می‌کند.
اخیراً سازمان US-CERT در مورد یک آسیب‌پذیری اجرای کد از راه دور 17 ساله خطرناک در نرم افزار PPP daemon (pppd) که روی بیشتر سیستم‌عامل‌های مبتنی بر لینوکس به طور پیش‌فرض نصب شده است و همچنین سخت‌افزار بسیاری از دستگاه‌های متصل به شبکه دیگر را به خود اختصاص می‌دهد، هشدار داد.
نرم‌افزار pppd تحت تاثیر، پیاده سازی پروتکل (PPP)Point-to-Point است که ارتباط و انتقال داده را بین نودهای شبکه امکان‌پذیر می‌کند و در درجه اول برای ایجاد لینک‌های اینترنتی مانند مودم‌هایdial-up، اتصالات پهن باند DSL و شبکه‌های خصوصی مجازی (VPN) استفاده می‌شود.
این آسیب‌پذیری بحرانی توسط محقق امنیتی Ilja Van Sprundel کشف شده است، و یک نوع سرریز بافر در پشته است که به دلیل یک خطای منطقی در تجزیه کننده در پشته پروتکلExtensible Authentication Protocol (EAP) موجود در نرم‌افزار pppd اتفاق می‌افتد.
این آسیب‌پذیری، به عنوان CVE-2020-8597 با شدت CVSS 9.8 محاسبه شده است و می‌تواند توسط مهاجمان غیرمجاز مورد سوءاستفاده قرار گیرد تا از راه دور کد دلخواه را روی سیستم‌های آسیب دیده اجرا کرده و کنترل کامل آن‌ها را به دست گیرند.

درباره آسیب‌پذیری
مهاجم با ارسال یک بسته EAP ناخواسته به یک کلاینت یا یک سرور آسیب‌پذیرکنترل سیستم را به دست می‌گیرد. علاوه بر این، از آنجا که pppd اغلب با امتیازات بالا اجرا شده و در رابطه با درایورهای kernel کار می‌کند، این نقص می‌تواند به مهاجمان اجازه دهد کد‌های مخرب را به طور بالقوه با امتیازات سطح root اجرا کنند.
 

طبق گفته محققان، این آسیب‌پذیری به دلیل خطا در اعتبارسنجی اندازه ورودی قبل از کپی کردن داده‌های ارسال شده به حافظه است. نادرست بودن اعتبارسنجی اندازه داده‌ها، باعث اجرای کد ناخواسته، کپی داده‌های دلخواه در حافظه و ایجاد فساد حافظه خواهد شد. این آسیب‌پذیری در منطق کد تجزیه EAPاست، به ویژه در توابع eap_ Ask () و eap_response () در eap.c که توسط یک کنترل کننده ورودی شبکه فراخوانی می‌شود.
تصور اینکه اگر EAP فعال نباشد pppd آسیب‌پذیر نیست، یا اینکه EAP با یک شخص از راه دور با استفاده از یک عبارت رمز شده یا یک عبارت، مبادله نشده است، نادرست است. این مسئله به این دلیل است که یک مهاجم اعتبارسنجی شده می‌تواند قادر به ارسال بسته EAP ناخواسته برای ایجاد سرریز بافر باشد.

باگ pppd: سیستم‌های عامل و دستگاه‌های تحت تأثیر
به گفته این محقق، نسخه‌های 2.4.2 تا 2.4.8 از نرم‌افزار Daemon Protokoll Point-to-Point (همه نسخه‌های منتشر شده در 17 سال گذشته)، در برابر این آسیب‌پذیری جدید اجرای کد از راه دور آسیب‌پذیر هستند.
برخی از توزیع‌های پرکاربرد و محبوب لینوکس، که در زیر ذکر شده است، در حال حاضر تحت تاثیر این آسیب‌پذیری قرار گرفته و بسیاری دیگر نیز به احتمال زیاد تحت تأثیر قرار خواهند گرفت.

• Debian
• Ubuntu
• SUSE Linux
• Fedora
• NetBSD
• Red Hat Enterprise Linux

علاوه بر این، سایر برنامه‌ها و دستگاه‌های آسیب‌پذیر (برخی از آنها در زیر ذکر شده است) که نرم افزار pppd را ارسال می‌کنند نیز گسترده است و احتمال حمله مهاجمان را افزایش می‌دهد.

• Cisco CallManager
• TP-LINK products
• OpenWRT Embedded OS
• Synology products

به کاربران دارای سیستم عامل و دستگاه‌های آسیب‌دیده توصیه می‌شود هرچه سریع‌تر وصله‌های امنیتی را اعمال کنند.
منبع:

https://thehackernews.com/2020/03/ppp-daemon-vulnerability.html?m=1

شرکت #‫گوگل یک آسیب‌پذیری بحرانی را در تراشه‌های MediaTek rootkit وصله کرده است که میلیون‌ها دستگاه دارای این تراشه را تحت تآثیر قرار می‌دهد.
MediaTek یک شرکت بزرگ تولید کننده تراشه در تایوان است که تراشه‌هایی را برای ارتباطات بی‌سیم، تلویزیون‌های با وضوح بالا و دستگاه‌هایی مانند تلفن‌های هوشمند و تبلت‌ها تولید می‌کند.
آسیب‌پذیری MediaTek
این آسیب‌پذیری با شناسه "CVE-2020-0069" اولین بار توسط اعضای انجمن XDA کشف و شناسایی شد. این باگ از آوریل سال 2019 در اینترنت قرار گرفت و اکنون مهاجمان اکسپلویت آن را آغاز کرده‌اند.
سال گذشته شرکت MediaTek، وصله امنیتی را جهت رفع این آسیب‌پذیری منتشر کرد اما مهاجمان با نصب یک برنامه مخرب بر روی دستگاه، همچنان توانستند آن را مورد اکسپلویت قرار دهند. این اکسپلویت، تمام چیپست‌های 64 بیتی MediaTek شامل Motorola، OPPO، Sony، Alcatel، Amazon، ASUS، Blackview، Realme، Xiaomi و سایر دستگاه‌ها را تحت تآثیر قرار می‌دهد.
 

آسیب‌پذیری ذکر شده به هر کاربر اجازه می‌دهد تا دسترسی روت داشته باشد و به راحتی و تنها با کپی کردن این اسکریپت در یک پوشه موقت، ارائه مجوز اجرا و سپس اجرای آن، ماژول امنیتی SELinux لینوکس را در دستگاه خود نصب کند.
آسیب‌پذیری دیگری که توسط گوگل وصله شده است دارای شناسه اختصاصی " CVE-2020-0032" است که می‌تواند با استفاده از یک فایل ساختگی مخرب برای اجرای کد دلخواه در چارچوب یک فرآیند خاص، مورد اکسپلویت قرار گیرد.

#‫آسیب‌پذیری جدید #GhostCat با شدت بحرانی بر روی سرور‌های Apache Tomcat تاثیر می‌گذارد. در این گزارش به بررسی این آسیب‌پذیری می‌پردازیم.
اگر وب سروری روی ‌Apache Tomcat اجرا می‌شود، باید برای جلوگیری از کنترل غیرمجاز هکرها، فوراً به آخرین نسخه موجود آن ارتقا داده شود. همه‌ی نسخه‌های (9.x/8.x/7.x/6.x) منتشر شده در 13 سال گذشته در Apache Tomcat، نسبت به آسیب‌پذیری « file read and inclusion» با شدت بحرانی (CVSS 9.8) آسیب‌پذیر هستند که امکان بهره‌برداری از آن در صورتی که پیکربندی پیش‌فرض تغییر نکرده باشد وجود دارد.این موضوع از آن جهت قابل توجه است که چندین بهره‌برداری از این آسیب‌پذیری در اینترنت منتشر شده ‌است و دسترسی مهاجمان به وی سرورهای آسیب‌پذیر را از همیشه آسان‌تر می‌سازد.
این آسیب‌پذیری موسوم به GhostCat و با شناسه CVE-2020-1938 به مهاجمان اجازه می‌‌دهد که بدون نیاز به احراز هویت به محتوای هر فایل موجود در سرور‌های آسیب‌پذیر دسترسی پیدا کنند، فایل‌های پیکر‌بندی حساس یا سورس کد را بدست آورند، یا اگر سرور اجازه آپلود فایل دهد، کد دلخواه خود را اجرا کنند.

آسیب‌پذیری GhostCat چیست و چگونه کار می‌کند؟
به گفته محققان در شرکت چینی Chaitin Tech، این آسیب‌پذیری در پروتکل AJP در نرم افزار Apache Tomcat وجود دارد که از مدیریت نادرست یک attribute ناشی می‌شود. اگر سایت به کاربران اجازه آپلود فایل دهد، مهاجم ابتدا می‌تواند با آپلود یک اسکریپت کد مخرب JSP به سرور (فایل آپلود شده می‌تواند از نوع تصاویر، فایل‌های متنی ساده و غیره باشد)، آن را به GhostCat آلوده کند که در نهایت می‌تواند منجر به اجرای کد از راه دور شود.
پروتکل Apache JServ(AJP) در اصل یک نسخه بهینه شده از پروتکل HTTP است که به Tomcat امکان برقراری ارتباط با یک وب سرور Apache را می‌دهد.

هک Apache Tomcat
پروتکل AJP به طور پیش فرض فعال است و به پورت TCP 8009 گوش می‌دهد، که محدود به آدرس IP 0.0.0.0 است و فقط مشتریان غیر قابل اعتماد می‌توانند از راه دور از آن بهره‌برداری کنند.
بر اساس موتور جستجو onyphe (مربوط به داده‌های هوش تهدید سایبری و متن باز)، بیش از 170،000 دستگاه وجود دارد که در زمان نوشتن یک AJP Connector از طریق اینترنت، در معرض دید همه قرار می‌گیرند.

نسخه های Tomcat تحت تاثیر
   • Apache Tomcat 9.x < 9.0.31
   • Apache Tomcat 8.x < 8.5.51
   • Apache Tomcat 7.x < 7.0.100
   • Apache Tomcat 6.x

وصله کردن آسیب‌پذیری Apache Tomcat
محققان Chaitin این نقص را در ماه گذشته به پروژه Apache Tomcat گزارش کردند و اکنون نسخه‌های 9.0.31، 8.5.51 و 7.0.100 از Apache Tomcat برای وصله کردن این آسیب‌پذیری منتشر شده است.
آخرین نسخه منتشر شده از این محصول دو مشکل دیگر از قاچاق (Smuggling) درخواست HTTP (CVE-2020-1935 و CVE-2019-17569) را رفع کرده‌اند.
به آدمین وب اکیداً توصیه می‌کنند که هر چه سریع‌تر نرم‌افزار خود را به روز‌رسانی کرده و هرگز پورت AJP را افشا نکنند چراکه AJP درحالیکه باید در یک شبکه قابل اعتماد ارتباط برقرار کند از طریق کانال نا‌امن ارتباط برقرار می‌کند.
کاربران باید توجه داشته باشند که در تنظیمات پیش‌فرض AJP Connector در نسخه 9.0.31 تغییراتی ایجاد شده‌است که تنظیمات پیش‌فرض را مشکل‌تر کند. احتمال دارد کاربران در به روز‌رسانی 9.0.31 یا نسخه‌های بعد از آن نیاز به ایجاد تغییرات کوچکی در تنظیمات خود داشته باشند.
اگر به دلایلی نتوانید سرور وب خود را فوراً به روز‌رسانی کنید، می‌توانید اتصال AJP را مستقیماً غیرفعال کرده یا آدرس گوش دادن آن را به localhost تغییر دهید.

منبع:

https://thehackernews.com/2020/02/ghostcat-new-high-risk-vulnerability.html

شرکت #Zyxel اعلام کرد که یک آسیب پذیری به شناسه CVE-2020-9054 در دستگاه ذخیره ساز متصل به شبکه یا NAS کشف کرده است که به مهاجم اجازه می دهد تا از راه دور و بدون احراز هویت کدهای مخرب را در دستگاه آسیب پذیر اجرا کند.
کد بهره برداری از این آسیب پذیری به صورت عمومی منتشر شده است.
دستگاه های ZyXEL NAS با استفاده از برنامه weblogin.cgi احراز هویت انجام می دهند. آسیب پذیری در این برنامه که در قسمت وارد کردن نام کاربری وجود دارد باعث می شود که مهاجم بتواند کاراکترهای خاصی را در این قسمت وارد کند و به این ترتیب کدهای مخرب را از این طریق به دستگاه تزریق کند. با اینکه در این حالت وب سرور با دسترسی root فعال نیست ولی مهاجم می تواند با تنظیم uid، دسترسی خود را به کاربر root تغییر دهد و با بالاترین سطح دسترسی کدهای دلخواه خود را اجرا کند.
به طور کلی دستگاه های NAS که نسخه firmware آن ها 5.21 و قبل از آن می باشد آسیب پذیر هستند. ZyXEL برای مدل‌های زیر به روز رسانی منتشر کرده است بنابراین به کاربران این مدل از NAS ها توصیه می شود تا هرچه سریع‌تر این به روز رسانی را نصب کنند:

   • NAS326
   • NAS520
   • NAS540
   • NAS542

اما ZyXEL برای مدل های زیر به روز رسانی منتشر نکرده است چون دیگر از این مدل ها پشتیبانی نمی کند. بنابراین به کاربران این مدل از NAS ها که در زیر نام برده شده توصیه می شود تا در صورت امکان دسترسی این تجهیزات از اینترنت را قطع کنند و یا برای امن سازی، آن را در پشت فایروال قرار دهند.

• NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 and NSA325v2

منبع:

https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml

شرکت #‫مایکروسافت اخیراً وصله امنیتی را برای تمامی نسخه های Microsoft Exchange انتشار داده است که این وصله امنیتی یک نقص اجرای کد از راه دور (RCE) را مرتفع می سازد. این نقص به مهاجم این امکان را می دهد تا با ارسال payload دستکاری شده بتواند دستورات خود را در سرور اجرا کند. محققین اکسپلویت و کد مخرب بهره برداری از این آسیب پذیری را در تاریخ 24 فوریه 2020 منتشر کرده اند.
این آسیب پذیری بر روی Exchange Control Panel(ECP) تاثیرگذار خواهد بود و در تمامی نسخه های Exchange Server به دلیل داشتن کلید اعتبارسنجی و الگوریتم یکسان بر روی فایل web.config صدق می کند. آسیب پذیری بصورت authenticated است و مهاجم برای اجرا، نیازمند اطلاعات ورود به یک حساب کاربری می باشد.

نحوه عملکرد Exploit
ابتدا Exploit از طریق یک درخواست post از طریق /owa/auth.owa احراز هویت می شود. این درخواست post حاوی نام کاربری و رمز عبور معتبر است. پس از احراز هویت موفق، Exploit از صفحه ecp/default.aspx/ درخواست می کند تا محتوای --VIEWSTATEGENERATOR و ASP.NET.SessionID را بدست آورد. با استفاده از اطلاعات به دست آمده از --VIESTATEGNERATOR این بار Exploit یک payload سریالی را که حاوی دستورات مخرب است ساخته و سپس به /ecp/default.aspx ارسال می کند.
لیست زیر صفحاتی هستند که تحت تاثیر این آسیب پذیری قرار می گیرند:

• /ecp/default.aspx
• /ecp/PersonalSettings/HomePage.aspx
• /ecp/PersonalSettings/HomePage.aspx4E
• /ecp/Organize/AutomaticReplies.slab
• /ecp/RulesEditor/InboxRules.slab
• /ecp/Organize/DeliveryReports.slab
• /ecp/MyGroups/PersonalGroups.aspx
• /ecp/MyGroups/ViewDistributionGroup.aspx
• /ecp/Customize/Messaging.aspx
• /ecp/Customize/General.aspx
• /ecp/Customize/Calendar.aspx
• /ecp/Customize/SentItems.aspx
• /ecp/PersonalSettings/Password.aspx
• /ecp/SMS/TextMessaging.slab
• /ecp/TroubleShooting/MobileDevices.slab
• /ecp/Customize/Regional.aspx
• /ecp/MyGroups/SearchAllGroups.slab
• /ecp/Security/BlockOrAllow.aspx

نحوه تشخیص نفوذ
• Event Logs
این Exploit یک رویدادSYSMON با شماره 4 را در لیست رویدادهای برنامه (Application logs) ایجاد می کند. پیام ERROR که در لیست رویدادها وجود دارد، شامل صفحه هدف و همچنین Payload سریالی می باشد. از آنجا که می تواند چندین صفحه را مورد هدف قرار دهد، هشدار بر روی آدرس های /ecp/root که دارای متغیر بزرگ _VIEWSTATE باشد می تواند برای شناسایی آن مثمر ثمر واقع شود.
 

• IIS Logs
اولین شاخص شناسایی، گروهی از درخواست ها در log می باشد که با درخواست های post به مقصد /owa/auth.owa شروع می-شود و پس از آن درخواست های متعدد GET به یکی از URL های هدف که پیش تر لیستی از آنها آورده شده اتفاق می افتد که یکی از آن ها حاوی متغیر --VIEWSTATE می باشد. _VIEWSTATE هرگز نباید به عنوان بخشی از درخواست های GET ارسال شود.

• PROCESS EXECUTION
زمانی که Exploit، payload خود را به سمت سرور ارسال می کند، IIS WORKER دستورات مخرب را با پروسسی زیر مجموعه پروسس w3wp.exe اجرا می کند. در تصویر زیر می تواند مشاهده کنید که پروسس مخرب! calc.exe به عنوان یک پروسس زیر مجموعه (child) پروسس w3wp.exe با سطح دسترسی SYSTEM در حال اجرا است.

رویدادهای دیگر و محل دستیابی به آن‌ها
Exchange Server استثنائات (Exception) را در مسیر دایرکتوری زیر ثبت می کند:
c:\ program Files\Microsoft\Exchange Server\V15\Logging\ECP\ServerException\
این فهرست شامل درخواست های GET مخرب به همراه String query مربوطه است. محتوای این پرونده می تواند شامل پرونده های log هنگام اجرای POC باشد.

#‫گوگل به روزرسانی جدیدی برای مرورگر کروم برای کاربران دسکتاپ منتشر کرده است. نسخه جدید این مرورگر (80.0.3987.122) سه آسیب‌پذیری مهم را برطرف می‌کند که یکی از آنها با شناسه CVE-2020-6418 توسط مهاجمان نیز مورد بهره‌برداری قرار گرفته بود. خلاصه‌ای از سه آسیب پذیری برطرف شده به شرح زیر است:
1. سرریز داخلی در ICU
2. دسترسی خارج از محدوده‌ی حافظه در جریان‌ها (CVE-2020-6407)
3. Type confusion در V8 با شناسه CVE-2020-6418
مهاجم با بهره‌برداری از آسیب‌پذیری‌های سرریز داخلی و دسترسی خارج از محدوده‌ی حافظه می‌تواند سیستم آلوده قربانی را تحت کنترل بگیرد؛ به طوری که با فریب کاربر برای بازدید از یک سایت مخرب که از بهره‌برداری دو آسیب پذیری مذکور کمک می‌گیرد امکان اجرای کد دلخواه در سیستم قربانی وجود دارد.آسیب‌پذیری Type confusion نیز در موتور تفسیر جاوااسکریپ V8 وجود داشت که همزمان بصورت فعال مورد بهره‌برداری مهاجمان قرار گرفته بود. لازم به ذکر است که جزییات فنی این آسیب‌پذیری تا کنون به صورت دقیق منتشر نشده است.
آسیب‌پذیری سرریز داخلی توسط André Bargull کشف و بصورت خصوصی به گوگل گزارش شده بود درحالیکه دو آسیب‌پذیری دیگر توسط تیم امنیتی گوگل شناسایی شده بودند.
گوگل جزییات سه آسیب‌پذیری مذکور را منتشر نکرده است تا کاربرانی که تحت تاثیر این آسیب‌پذیری‌ها هستند به روزرسانی منتشر شده را دریافت کنند. درنتیجه به کاربران مرورگر Google Chrome توصیه می‌شود هر چه سریع‌تر به به‌روزرسانی از طریق لینک زیر اقدام کنند:

https://support.google.com/chrome/answer/95414?co=GENIE.Platform%3DDesktop&hl=en