دو #‫آسیب‌پذیری با درجه اهمیت «بالا» در پروتکل Cisco Discovery Protocol یا #CDP محصولات مختلف سیسکو وجود دارد که می‌تواند به اجرای کد دلخواه یا منع سرویس منجر شوند. پروتکل CDP، تجهیزات سیسکو که مستقیماً به هم متصل هستند را قادر می‌سازد تا اطلاعات مربوط به یکدیگر را کشف کنند.
یک آسیب‌پذیری با شناسه CVE-2020-3119 در نرم‌افزار سیستم‌عامل NX-OS وجود دارد که می‌تواند به یک مهاجم احراز هویت نشده مجاور ، اجازه اجرای کد دلخواه را بدهد یا باعث ریبوت شدن تجهیز شود. این آسیب‌پذیری ناشی از عدم اعتبارسنجی مناسب در فیلدهای خاصی از پیام‌های CDP است. مهاجم می‌تواند با ارسال یک بسته CDP با طراحی خاص شرایط سرریز پشته را سبب شده و در نهایت روی سیستم با دسترسی مدیریتی، کد اجرا کند. امتیاز CVSS 3.0 این آسیب‌پذیری برابر است با 8.8 که درجه اهمیت آن «بالا» محسوب می‌شود.
آسیب‌پذیری دیگر با شناسه CVE-2020- شناخته می شود و نرم‌افزارهای FXOS، IOS XR و NX-OS را تحت تأثیر قرار می‌دهد. مهاجم احراز هویت نشده مجاور با استفاده از این آسیب‌پذیری می‌تواند سیستم هدف را ریبوت کند و در نتیجه باعث منع سرویس شود. علت وجود این آسیب‌پذیری وجود نداشتن یک بررسی ضروری در هنگام بررسی پیام‌های CDP است. مهاجم می‌تواند با ارسال یک بسته CDP بدخواهانه منجر به پر شدن حافظه و در نتیجه ریبوت شدن تجهیز شود. امتیاز CVSS 3.0 این آسیب‌پذیری برابر است با 7.4 که درجه اهمیت آن «بالا» محسوب می‌شود.
لذا برای رفع این دو آسیب‌پذیری باید نرم‌افزار تجهیزات خود را بروزرسانی کنید. اگر بروزرسانی برای شما میسر نیست و به پروتکل CDP نیاز ندارید، آن را به طور عمومی (global) غیرفعال کنید تا راه حمله به کلی بسته شود. اگر به پروتکل CDP تنها روی برخی پورت‌ها نیاز ندارید، آن را روی همان پورت‌ها غیرفعال کنید تا امکان حمله کاهش یابد.

یک محقق امنیتی جزییات فنی از #‫آسیب‌پذیری‌های چندگانه‌ با حساسیت بالا را در پیام‌رسان واتس‌اپ منتشر کرد که با بهره‌برداری از آنها امنیت میلیون‌ها کاربر به خطر خواهد افتاد و یک مهاجم از راه دور می‌تواند با ارسال یک پیام مخرب به قربانی در برنامه واتس‌اپ فایل‌های موجود در سیستم ویندوزی یا mac کاربر را سرقت کند.این آسیبب پذیری با شناسه CVE-2019-18426 که توسط محقق PerimeterX به نام Gal Weizman کشف شده است، در نسخه وب واتس‌اپ واقع شده است.
درباره‌ی این آسیب‌پذیری
این آسیب‌پذیری نشان می‌دهد در نسخه وب واتس‌اپ یک آسیب‌پذیری خطرناک از نوع open-redirect وجود دارد که می‌تواند با ارسال یک پیام مخرب به حملات cross-site scripting ختم شود.
درنتیجه اگر پیام مخرب توسط قربانی در نسخه وب واتس‌اپ در مرورگر باز شود امکان اجرای کد از راه دور در context برنامه وجود دارد؛ اگر پیام در برنامه نسخه desktop باز شود نیز کد مخرب در گیرنده‌ی سیستم و در context برنامه اجرا می‌شود. علاوه بر این به دلیل اشتباه در تنظیم (misconfigure) محتوای سیاست‌های امنیتی دامین نسخه وب واتس‌اپ، امکان بارگذاری payloadهای XSS با استفاده از iframe از یک وب سایت دیگر در اینترنت که تحت کنترل مهاجم است، وجود دارد. به گفته‌ی این محقق اگر قوانین CSP بهتر تنظیم شده بودند، قدرت عمل XSS کاهش پیدا می‌کرد. با دور زدن قوانین CPS مهاجم می‌تواند اطلاعات باارزشی از قربانی سرقت کند و payloadهای XSS را به راحتی بارگذاری کند.

دانلود پیوست

این #‫اسکنر به طور مشترک توسط FireEye و Citrix و بر اساس اطلاعات جمع آوری شده از پاسخگویی های مربوط به حوادث رایانه ای بهره برداری از آسیب پذیری CVE-2019-19781 تهیه شده است. هدف این اسکنر تجزیه و تحلیل منابع موجود و شواهد جرم یابی دیجیتال در سیستم، به منظور شناسایی شواهد بهره برداری موفقیت آمیز از آسیب پذیری CVE-2019-19781 می¬باشد.
هرچند محدودیت هایی در خصوص توانایی های این ابزار وجود دارد؛ با این حال نباید سیستم های دارای اینگونه محدودیت ها را عاری از آلودگی، تلقی کرد. زیرا ممکن است سیستم مجدداً راه اندازی شده باشد و یا حتی مهاجم برای حذف شواهد سیستم را دستکاری کرده و/یا یک rootkit نصب کند که شواهد را حذف نماید و ...
این اسکنر می تواند موارد زیر را شناسایی کند:
   • رخدادهای ورودی وب سرور نشانگر سوء استفاده موفقیت آمیز است
   • مسیرهای file system بدافزارهای شناخته شده
   • فعالیت پس از بهره برداری در تاریخچه ی shell
   • موارد مخرب شناخته شده در دایرکتوری های NetScaler
   • اصلاح غیرمنتظره دایرکتوری NetScaler
   • مقادیر غیرمنتظره ی crontab
   • پروسه های غیرمنتظره
   • پورت هایی که توسط بدافزارهای شناخته شده استفاده می شوند

خروجی این ابزار در یکی از سه دسته قرار می گیرد:
1. شواهد آسیب پذیری: این خروجی به صورت پیش فرض وجود دارد. هر مدرکی که در این طبقه قرار می گیرد ، نشان دهنده آنست که دستگاه با موفقیت مورد نفوذ قرارگرفته و آسیب پذیر بوده است. دلیل این امر می تواند موارد متعددی باشد: از اجرای دستورات منجر به افشای اطلاعات (به عنوان مثال مشاهده پرونده های پیکربندی ns.conf یا smb.conf ) گرفته تا نصب یک backdoor (به عنوان مثال NOTROBIN ، استخراج کننده ارز دیجیتال و ...)
2. شواهدی از اسکن موفقیت آمیز آسیب پذیری که می تواند توسط یک مدیر سیستم مجاز یا یک مهاجم غیر مجاز بوده باشد: هر مدرکی که به این گروه تعلق داشته باشد، نشان می دهد که این سیستم در وضعیت آسیب پذیر قرار داشته و یا حداقل در اولین مرحله بهره برداری از CVE-2019-19781 موفقیت آمیز بوده است.
3. شواهد اسکن آسیب پذیری ناموفق: هر مدرکی که در این طبقه قرار می گیرد، نشان می دهد که تلاشی برای اسکن یا بهره برداری از سیستم انجام شده است.
این ابزار تضمینی نمی¬دهد که کلیه شواهد در معرض خطر قرار گرفتن سیستم، به خصوص آنچه مربوط به آسیب پذیری CVE-2019-19781 را رائه می دهد. لذا اگر نشانه هایی از آلودگی بر روی سیستم ها مشخص شود، سازمان ها باید بررسی های جرم یابی دیجیتال را انجام دهند تا دامنه و وسعت این حادثه مشخص شود.

نحوه استفاده
می بایست Bash اسکریپت موجود در اینجا را دریافت نمایید. اسکنر IoC را می توان مستقیماً بر روی دستگاه ADC Citrix اجرا کرد. ابزار مذکور در این حالت، پرونده ها، پردازش ها و پورت ها را برای نشانگرهای شناخته شده اسکن کرده و همچنین پیام های تشخیص را چاپ میکند. در استفاده معمولی، می بایست STDOUT را برای بررسی مجدداً به یک فایل وارد نمایید. همچنین ابزار باید به صورت root و به صورت live بر روی دستگاه لوازم جانبی ADC Citrix اجرا شود.به عنوان مثال:
$ sudo bash ./ioc-scanner-CVE-2019-19781-v1.1.sh > "/tmp/results-$(date).txt"

این ابزار برای استفاده با محصولات زیر طراحی شده است:
• Citrix ADC و Citrix Gateway نسخه 13.0
• Citrix ADC و Citrix Gateway نسخه 12.1
• Citrix ADC و Citrix Gateway نسخه 12.0
• Citrix ADC و Citrix Gateway نسخه 11.1
• Citrix ADC و Citrix Gateway نسخه 10.5
• برنامه Citrix SD-WAN WANOP مدل های 4000 ، 4100 ، 5000 و 5100

رمزگشای باج‌افزار ChernoLocker توسط پژوهشگران شرکت امنیتی Emsisoft به روز شد.
باج‌افزار ChernoLocker در اواسط ماه دسامبر ۲۰۱۹ میلادی ظهور پیدا کرد. این باج‌افزار عملیات رمزگذاری خود را با الگوریتم AES-256 انجام می‌دهد و به زبان برنامه‌نویسی پایتون نوشته شده است.

در صورتی که فایل‌های شما توسط این باج‌افزار با پسوندهای .CHERNOLOCKER و .filelocker@protonmail.ch رمزگذاری شده‌اند، می‌توانید از طریق این رمزگشا فایل‌های خود را رمزگشایی کنید.
لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/chernolocker

رمزگشای باج‌افزار #Ransomwared توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
این باج‌افزار از الگوریتم رمزنگاری DES برای رمزگذاری داده‌های قربانیان خود استفاده می‌کند و پیام کوتاهی به شرح زیر نمایش می‌دهد:

You are ransomwared! To recover your files, email us and buy recovery code ;)
wanna@extra.credit

گفتنی است الگوریتم رمزنگاری DES به صورت متقارن است و بدین معنی است که داده‌ها با همان کلیدی که رمزگذاری شده‌اند قابل رمزگشایی نیز هستند که البته این موضوع به معنی ضعیف بودن این نوع از الگوریتم‌های رمزنگاری نمی‌باشد.
در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .ransomwared می‌باشند. می‌توانید با این رمزگشا فایل‌های خود را رمزگشایی کنید.

به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید:

https://www.emsisoft.com/ransomware-decryption-tools/ransomwared

یک #‫آسیب‌پذیری با درجه High و به شناسه CVE-2020-1603 کشف شده است که نسخه های مختلف سیستم-عامل juniper به نام Junos OS را تحت تاثیر قرار می دهد.
مهاجم برای بهره برداری از این آسیب پذیری، بسته های مخرب IPv6 را می سازد و آن ها را برای دستگاه آسیب پذیر ارسال می کند. این بسته ها باید توسط موتور پردازش و یا Routing Engine(RE) پردازش شوند اما مهاجم این بسته ها را به گونه ای طراحی کرده است که توسط سیستم RE بلاک می شوند سپس RE به آن ها اجازه می دهد تا از موتور پردازش خارج شوند. بنابراین مشکل نشت حافظه mbuf در دستگاه های Juniper Networks Junos OS اتفاق می افتد.
در نهایت این نشت حافظه منجر به crash کردن هسته سیستم عامل می شود که برای بازگرداندن دستگاه به حالت عادی باید آن را reboot کرد که این منجر به حمله DoS می شود.
این آسیب پذیری نسخه های مختلف سیستم عامل juniper را تحت تاثیر قرار می دهد. لیست زیر نسخه های آسیب-پذیر را نشان می دهد:

   • 16.1 versions prior to 16.1R7-S6;
   • 16.1 version 16.1X70-D10 and later;
   • 16.2 versions prior to 16.2R2-S11;
   • 17.1 versions prior to 17.1R2-S11, 17.1R3-S1;
   • 17.2 versions prior to 17.2R1-S9, 17.2R2-S8, 17.2R3-S3;
   • 17.3 versions prior to 17.3R3-S6;
   • 17.4 versions prior to 17.4R2-S9, 17.4R3;
   • 18.1 versions prior to 18.1R3-S7;
   • 18.2 versions prior to 18.2R3-S2;
   • 18.2X75 versions prior to 18.2X75-D50, 18.2X75-D410;
   • 18.3 versions prior to 18.3R1-S6, 18.3R2-S2, 18.3R3;
   • 18.4 versions prior to 18.4R2-S2, 18.4R3;
   • 19.1 versions prior to 19.1R1-S3, 19.1R2;
   • 19.2 versions prior to 19.2R1-S2, 19.2R2.

وصله این آسیب پذیری برای هرکدام از نسخه های آسیب پذیر منتشر شده است. به کاربران این سیستم عامل های
آسیب پذیر توصیه می شود که به روز رسانی را هرچه سریع تر انجام دهند.

چند #‫آسیب پذیری بحرانی در Oracle کشف شده است که تعداد زیادی از محصولات این شرکت را تحت تاثیر قرار می دهد. یک مهاجم می تواند از راه دور منجر به از کار افتادن (crash) اپلیکیشن و اجرای کدهای مخرب شود. به طور کلی مهاجم می تواند عملیات مخرب زیر را بر روی سیستم آسیب پذیر انجام دهد:
   • حمله DoS
   • اجرای کد از راه دور
   • دور زدن محدودیت های امنیتی
   • افشای اطلاعات
   • دستکاری اطلاعات

تعدادی از محصولات آسیب پذیر:
   • ava SE JDK/JRE 13.0.1
   • Java SE JDK/JRE 11.0.5
   • Java SE JDK/JRE versions earlier than 8u241(1.8.0_241-b07)
   • Java SE JDK/JRE 8u231
   • Java SE JDK/JRE versions earlier than 7u251(1.7.0_251-b08)
   • Oracle Database Server 212.2.0.1
   • Oracle Database Server 29
   • Oracle Database Server 19c
   • Oracle Database Server 18c
   • Oracle Database Server 12.2.0.1
   • Oracle Database Server 12.1.0.11
   • Oracle Database Server 12.1.0.2
   • Oracle Database Server 11.2.0.4
   • Oracle WebLogic Server 12.2.1.4.0
   • Oracle WebLogic Server 12.2.1.3.0
   • Oracle WebLogic Server 12.1.3.0.0
   • Oracle WebLogic Server 10.3.6.0.0

سیستم‌های تحت تاثیر:
   • MySQL
   • Java SE
   • Oracle Database Server
   • Oracle VM VirtualBox
   • Oracle WebLogic

شرکت Oracle به روز رسانی های امنیتی را برای هر کدام از محصولات Java SE, Oracle Database و WebLogic منتشر کرده است:
   • ava SE JDK/JRE 13.0.2
   • Java SE JDK/JRE 11.0.6
   • Java SE JDK/JRE 8u241(1.8.0_241-b07)
   • Java SE JDK/JRE 7u251(1.7.0_251-b08)
   • Oracle Database Server
   • Oracle WebLogic Server

به سازمانها و کاربران این محصولات توصیه می شود هرچه سریعتر این به روز رسانی را انجام دهند تا از خطر افشای اطلاعات مهم و حساس در امان بمانند.

محققان امنیتی موسسه Armis از پنج آسیب‌پذیری «پروتکل کشف سیسکو (Cisco Discovery Protocol)» که به صورت گسترده در سازمان‌ها استفاده می‌شود، خبر دادند. این موسسه پنج آسیب‌پذیری مذکور را مجموعاَ CDPwn نامگذاری کرده است. دستگاه‌های سیسکو با بکارگیری این پروتکل و پیام‌های multicast با یکدیگر ارتباط برقرار می‌کنند. پروتکل CDP در اکثر محصولات سیسکو بکارگرفته شده اما به دلیل استفاده آن در شبکه‌های محلی به جای اینترنت کمتر شناخته شده است.

1 . درباره‌ی پنج آسیب‌پذیری - CDPWN
به گزارش Armis، چهار آسیب‌پذیری از نوع «اجرای کد از راه دور RCE» که با بهره‌برداری از آن امکان تحت کنترل گرفتن دستگاه آلوده که نسخه آسیب‌پذیر پروتکل را اجرا می‌کند، فراهم می‌شود و یک آسیب‌پذیری دیگر از نوع «DoS» است که موجب اختلال در کارکرد دستگاه خواهد شد. بهره‌برداری از CDPwn از طریق اینترنت فراهم نیست بلکه در شبکه محلی و لایه Data Link شبکه رخ می‌دهد.
نقطه شروع حمله و بهره برداری از CDPwn می‌تواند هر دستگاه سیسکو مانند دستگاه‌های IoT باشد که مهاجم با در اختیار گرفتن آن و ارسال پیام‌های CDP مخرب می‌تواند باقی دستگاه‌های سیسکو موجود در شبکه محلی را تحت کنترل بگیرد. پروتکل CDP در همه‌ی روترها، سوئیچ‌ها و فایروال‌های سیسکو به صورت پیش فرض فعال است که موجب می‌شود اهداف اصلی حملات احتمالی باشند.اگرچه آسیب‌پذیری‌های CDPwn نمی‌تواند برای نفوذ به شبکه‌ی امن یک سازمان از طریق اینترنت استفاده شود اما می‌تواند در جهت ارتقای سطح دسترسی اولیه و در اختیار گرفتن روترها و سوئیچ‌ها در جهت از بین بردن جداسازی شبکه‌ها (یکی از راه کارهایی که اغلب برای افزایش امنیت مربوط به زیرساخت انجام می شود) بکارگرفته شود.
همان طور که در تصویر بالا مشاهده می‌شود مهاجم می‌تواند با استفاده از ضعف در پیاده‌سازی لایه Data Link و آسیب‌پذیری CDPwn مکانیزم امنیتی جداسازی شبکه را از بین برده و به همه‌ی VLAN‌ها دسترسی پیدا کند.
علاوه بر روترها و سوئیچ‌ها، پروتکل CDP در تلفن‌های VOIP و IP Cameraها نیز بصورت پیش فرض فعال است. با بهره برداری از CDPwn در تجهیزاتی از این قبیل امکان تحت کنترل گرفتن آنها، نصب بدافزار، استخراج داده، استراق سمع داده های صوتی و تصویری و تماس‌ها، سرقت داده‌های حساس سازمان که از طریق سوییچ ها و روترها در جریان هستند، وجود دارد.

2 . تجهیزات آسیب‌پذیر
به نقل از موسسه Armis دستگاه‌های آسیب پذیر به ترتیب زیر است:
• آسیب پذیری Format String در همه روترهای سیسکو که سیستم‌عامل IOS XR را اجرا می‌کنند
• آسیب پذیری RCE در پروتکل CDP بر روی NX-OS
• همه‌ی‌ سوئیچ‌هایNexus سیسکو
• فایروال‌های Firepower سیسکو
• سیستم‌های NCS سیسکو
• همه‌ی دوربین‌های 8000 مبتنی بر IP
• آسیب پذیری RCE و DOS در همه‌ی تلفن‌های VOIP 7800 و 8800 سیسکو
وصله‌های امنیتی موجود در آدرس زیر را در اسرع وقت دریافت و اعمال کنید.
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-fxnxos-iosx…
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-fxnxos-iosx…
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-iosxr-cdp-r…
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-voip-phones…
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-ipcameras-r…
اگر امکان دریافت و اعمال وصله امنیتی را ندارید در صورت امکان این پروتکل را در تجهیزات آسیب پذیر غیرفعال کنید.

Django یک فریمورک وب سطح بالا به زبان پایتون است. این فریمورک در 18 دسامبر 2018 از رفع #‫آسیب‌پذیری با شناسه CVE-2019-19844 با حساسیت بالا (CVSS 9.8) خبر داد.

1. درباره‌ی این آسیب‌پذیری
کوئری استفاده شده در فرم ریست پسورد Django، برای بازیابی حساب‌های منطبق با ایمیلی که درخواست ریست شدن پسورد را دارد، به بزرگ و کوچک بودن حروف حساس نیست. با توجه به اینکه در بازیابی اطلاعات از پایگاه داده معمولا حروف کوچک به بزرگ و بالعکس تبدیل می‌شوند مهاجمی که ایمیل مربوط به یک حساب کاربری را بداند می‌تواند با ایمیلی که در ظاهر از ایمیل آن حساب کاربری متمایز است ولی در عمل (به دلیل تبدیلات Unicode) بعد از تبدیل حروف بزرگ به کوچک و بالعکس برای تطبیق با اطلاعات پایگاه داده دیگر متمایز نخواهد بود، استفاده کرده و یک توکن معتبر برای ریست کردن پسورد مربوط به حساب کاربری دریافت کند.

2. رفع این آسیب‌پذیری
برای رفع این آسیب پذیری تغییرات زیر در فریمورک Django صورت گرفت:

• در ریست کردن پسورد بعد از بازیابی حساب‌های کاربری مربوط به ایمیل وارد شده در فرم، برابری آدرس ایمیل در پایتون نیز با استفاده از فرآیند شناسایی-مقایسه پیشنهاد شده در «گزارش فنی Unicode » چک می‌شود.
• ایمیلهای مربوط به ریست کردن پسوردها به ایمیلی که از پایگاه داده بازیابی شده است ارسال می‌شود نه ایمیلی که در فرم درخواست ریست وارد شده است.

3. نسخه‌های آسیب‌پذیر
نسخه های 3.0، 2.2 و 1.11 و همچنین master branch این فریمورک آسیب‌پذیر هستند. وصله های امنیتی در آدرس https://www.djangoproject.com/weblog/2019/dec/18/security-releases موجود است. به تمامی کاربران Django توصیه می‌شود تا در اسرع وقت به روز رسانی‌های لازم را انجام دهند.

یک #‫آسیب‌پذیری به شناسه CVE-2020-3940 در محصولات VMware Workspace ONE SDK و اپلیکیشن موبایل مربوط به آن (هم در اندروید و هم در iOS) کشف شده است که منجر به نشت اطلاعات مهم می شود.
مهاجم برای بهره برداری از این آسیب پذیری باید حمله Man-in-the-Middle انجام دهد یعنی در شبکه مورد نظر بین اپلیکیشن موبایلی آسیب پذیر و دستگاه Workspace ONE UEM قرار بگیرد و ترافیک های رد و بدل شده بین آن دو را شنود کند. مهاجم می تواند این کار را حتی وقتی SSL فعال است نیز انجام دهد و به اطلاعات حساس دسترسی پیدا کند.
محصولات آسیب پذیر:

• Workspace ONE SDK
• Workspace ONE Boxer
• Workspace ONE Content
• Workspace ONE SDK Plugin for Apache Cordova
• Workspace ONE Intelligent Hub
• Workspace ONE Notebook
• Workspace ONE People
• Workspace ONE PIV-D
• Workspace ONE Web
• Workspace ONE SDK Plugin for Xamarin
وصله این آسیب پذیری برای محصولات نام برده شده منتشر شده است:
• Workspace ONE SDK for Android  version 19.11.1
• Workspace ONE SDK for iOS  version 5.9.9.8
• Workspace ONE Boxer for Android  version 5.13.1
• Workspace ONE Content for Android  version 3.2.1
• Workspace ONE Content for iOS  version 4.2
• Workspace ONE SDK Plugin for Apache Cordova for Android & iOS  version 1.5.1
• Workspace ONE Intelligent Hub for Android  version 19.11.1
• Workspace ONE Notebook for Android  version 1.2.1
• Workspace ONE People for Android  version 1.3.2
• Workspace ONE PIV-D for Android  version 1.4.2
• Workspace ONE Web for Android  version 7.10.8
• Workspace ONE SDK Plugin for Xamarin for Android & iOs  version 1.4.1

به مدیران شبکه توصیه می شود این به روز رسانی را هر چه سریع تر انجام دهند.