اخیراً #‫آسیب‌پذیری جدید بحرانی در بلوتوث دستگاه‌های #‫اندرویدی کشف شده است که به مهاجمین از راه دور اجازه می‌دهد تا به‌صورت پنهان کد دلخواه خود را اجرا کنند و دستگاه را بطور کامل کنترل کنند.
محققان دریافتند که این آسیب‌پذیری اندروید Oreo 8.0 و Android Pie 9.0 را تحت تأثیر قرار داده‌است و مهاجمین برای بهره‌‍‌برداری از این آسیب‌پذیری به هیچ تعامل با دستگاه کاربر نیاز ندارند. البته به دلایل فنی، در این خصوص اندروید 10 هنوز به‌طور کامل قابل بهره‌برداری نیست، اما این آسیب‌پذیری منجر به اختلال در فرآیند کارکردن بلوتوث می‌شود. همچنین نسخه‌های اندرویدی قدیمی‌تر از 8 نیز ممکن است تحت تأثیر قرار بگیرند اما محققان این اثرگذاری را ارزیابی نکرده‌اند.
براساس گزارش Insinuator "برای بهر‌ه‌‍‌برداری از این آسیب‌پذیری، مهاجم باید در محدوده‌ مجاور کاربر باشد و آدرس MACبلوتوث دستگاه هدف باید به‌دست آید."
شناسایی MAC برای مهاجمین کار چندان سختی نیست و می‌توان آدرس MAC بلوتوث را برای برخی از دستگاه‌ها از آدرس Wi-Fi MAC استخراج کرد.
محققان برای مقابله توصیه کرده‌اند که کاربران آخرین وصله‌ها را نصب کنند. این آسیب‌پذیری را می‌توان با شناسه CVE-2020-0022 ردیابی کرد و وصله‌ی لازم نیز در جدیدترین وصله‌ی امنیتی از فوریه 2020 منتشر شده‌است.
اندروید در خصوص جدیدترین به‌روزرسانی امنیتی منتشر شده درباره این آسیب‌پذیری توضیحاتی را ارائه کرده است. این آسیب‌پذیری می‌تواند منجر به سرقت اطلاعات شخصی شود و به طور بالقوه می‌تواند برای پخش بدافزار و جاسوسی دستگاه اندرویدی از راه دور استفاده شود. در حال حاضر، هیچ اطلاعات فنی بیشتری برای این آسیب‌پذیری مهم بلوتوث در دسترس نیست.
همچنین جدا از بحث به‌روزرسانی و دریافت آخرین وصله امنیتی اندروید، توصیه شده است که در دستگاه اندرویدی بلوتوث را هنگامی که از آن استفاده نمی‌کنید، فعال نکنید و در بلوتوث دستگاه خود گزینه غیرقابل کشف (non discoverable) را فعال کنید.

محققین امنیتی Check Point، جزئیات مربوط به دو #‫آسیب‌پذیری تازه وصله‌شده در سرویس‌های Microsoft Azure را منتشر ساخته‌اند. سوءاستفاده‌ی موفق از این دو آسیب‌پذیری به مهاجمان اجازه می‌دهد تجارت‌های مختلفی که وب و برنامه‌های تلفن همراه خود را در Azure اجرا می‌کنند، هدف قرار دهند.
این دو آسیب‌پذیری در طی سال 2019 کشف و در پایان همان سال وصله شدند.
آسیب‌پذیری اول با شناسه‌ی CVE-2019-1234 شناسایی می‌‌شود و یک نقص جعل درخواست است که بر راه‌حل نرم‌افزار محاسباتی ابری Microsoft Azure Stack (یک ابزار ابری ترکیبی برای استفاده تجاری) اثر می‌گذارد. این آسیب‌پذیری جعل درخواست زمانی وجود دارد که Azure Stack نتواند درخواست‌های خاص را اعتبارسنجی کند. مهاجمان می‌توانند با ارسال یک درخواست ساختگی به پورتال Azure Stack، از این آسیب‌پذیری سوءاستفاده کنند. سوءاستفاده‌ی موفق از این آسیب‌پذیری باعث می‌شود مهاجمان بتوانند به منابع داخلی Azure Stack درخواست ایجاد کنند.
یکی از سرویس‌های آسیب‌پذیر Azure Stack که مورد بررسی محققین Check Point قرار گرفته است، DataService است. این سرویس نیاز به هیچ احرازهویتی ندارد و به مهاجم اجازه می‌دهد به اطلاعات حساس هر شرکتی که بر روی زیرساخت Azure اجرا می‌شود (خواه دستگاه اشتراکی باشد، خواه ایزوله) دست یابد. مهاجمان ابتدا باید به پورتال Azure Stack دست یابند و سپس درخواست‌های HTTP احرازنشده را که اسکرین‌شات‌ها و اطلاعات مربوط به مستأجران و دستگاه‌های زیرساختی را ارایه می‌دهند، ارسال کنند.
این آسیب‌پذیری تنها از طریق Azure Stack Portal (واسطی که کاربران می‌توانند در آن به ابرهایی با استفاده از Azure Stack ایجاد کرده‌اند، دست یابند) قابل سوءاستفاده است که یک بردار حمله‌ی بسیار معتبر نیز است.
آسیب‌پذیری دوم که با شناسه‌ی CVE-2019-1372 ردیابی می‌شود، یک نقص اجرا کد راه‌دور است که بر Azure App Service از Azure Stack اثر می‌گذارد. این آسیب‌پذیری می‌تواند برای به‌دست آوردن کنترل کامل کارگزار Azure و در نتیجه به دست آوردن کد تجاری شرکت، مورد سوءاستفاده قرار گیرد.
Azure App Service، یک سرویس یکپارچه‌ی کاملاً مدیریت‌شده‌ای است که به کاربران این امکان را می‌دهد برنامه‌های وب و تلفن همراه را در بسترهای مختلف و APIهای RESTful را در زبان برنامه‌نویسی خود بدون مدیریت زیرساخت، ایجاد و میزبانی کنند.
نقص CVE-2019-1372 در روش DWASSVC (سرویسی که مناسب مدیریت‌ و اجرای برنامه‌های مستأجر و فرایندهای IIS کارگر است) وجود دارد. این آسیب‌پذیری زمانی وجود دارد که Azure Stack نتواند طول یک بافر را پیش از کپی‌کردن حافظه در آن، بررسی کند. مهاجم می‌تواند با ارسال یک پیام ساختگی خاص به سرویس DWASSVC، از این نقص سوءاستفاده کند و به یک تابع غیرممتاز که توسط کاربر اجرا می‌شود اجازه دهد کد مخرب را در متن سیستم یا NT AUTHORITY اجرا کند و در نتیجه‌ی آن، جعبه‌شنی را دور بزند. ارسال پیام به DWASSVC توسط مهاجم بدین صورت است که زمانی که تابع C# Azure اجرا می‌شود، در متن کارگر اجرا می‌شود. این امر به مهاجم اجازه می‌دهد handleهایی را که در حال حاضر باز شده‌اند، بشمارد. از این طریق handle از قبل‌ بازشده را بیابد و یک پیام ساختگی خاص ارسال نماید.
با زنجیرکردن این دو نقص مهاجمان می‌توانند یک حساب کاربری رایگان با Azure Cloud ایجاد کنند و توابع مخرب Azure را بر روی آن اجرا نمایند یا درخواست‌های HTTP احرازنشده را به پورتال کاربری Azure Stack ارسال نمایند. در صورت سوءاستفاده‌ی موفق، مهاجمان می‌توانند به طور بالقوه کنترل کامل کارگزار Azure که کد تجاری را با خود حمل می‌کند، به‌دست آورند.

یک محقق امنیتی از امنیت اپل، آسیب‌پذیری قابل توجهی در ابزار سودو پیدا کرده است که تحت یک پیکربندی خاص می‌تواند به کاربران ممتاز یا برنامه‌های مخرب اجازه دهد تا دستورات دلخواه را با امتیازات ریشه (root) در سیستم‌های لینوکس یا macOS اجرا کند.
سودو یک برنامه‌ی مهم، قدرتمند و متداول است که به‌عنوان یک فرمان اصلی از پیش نصب‌شده بر روی macOS و تقریباً در هر سیستم‌عامل UNIX یا Linux مبتنی بر سیستم ارایه می‌شود.
این برنامه به گونه‌ای طراحی شده است که به کاربران اجازه می‌دهد تا بدون تعویض محیط، برنامه‌ها یا دستوراتی را با امتیازات کاربر دیگری اجرا کنند.
آسیب‌پذیری تشدید امتیاز کشف‌شده در سودو که با عنوان "CVE-2019-18634" ردیابی می‌شود، یک مسئله‌ی سرریز بافر مبتنی بر پشته است که در نسخه های قبل از 1.8.26 سودو وجود دارد.
این اشکال منطقی در نسخه‌های 1.8.26 تا 1.8.30 نیز وجود دارد، اما به دلیل تغییر کاربری EOF که در نسخه‌ی 1.8.26 معرفی شده است، قابل بهره‌برداری نیست.
بهره‌برداری از این اشکال به مجوزهای sudo احتیاج ندارد و فقط با فعال‌بودن گزینه‌ی "pwfeedback" در فایل پیکربندی "sudoers" امکان‌پذیر است. "pwfeedback" امکان بازخورد بصری را هنگام وارد کردن گذرواژه توسط کاربر فراهم می‌کند. این گزینه به‌صورت پیش‌فرض در نسخه‌های اصلی sudo یا بسیاری از بسته‌های دیگر فعال نیست، اما برخی از توزیع‌های لینوکس مانند Linux Mint و Elementary OS آن‌را در فایل‌های پیش‌فرض "sudoers" فعال می‌کنند.
هنگامی که "pwfeedback" فعال باشد، این آسیب‌پذیری می‌تواند توسط هر کاربری حتی بدون مجوز sudo، مورد سوءاستفاده قرار گیرد.
برای تعیین اینکه آیا پیکربندی sudoers تحت تأثیر قرار گرفته است یا خیر، کاربران می‌توانند دستور "sudo -l" را روی پایانه‌ی لینوکس یا macOS خود اجرا کنند و فعال‌بودن گزینه‌ی "pwfeedback" و "Matching Defaults entries" را بررسی کنند.
در صورت فعال‌بودن، می‌توانند با تغییر پیش‌فرض "pwfeedback" در فایل پیکربندی "sudoers"، مؤلفه‌ی آسیب‌پذیر را غیرفعال کرده تا از سوءاستفاده از آسیب‌پذیری جلوگیری کنند.
سودو نسخه‌ی 1.8.31 را برای مقابله با این آسیب‌پذیری منتشر کرد و از کاربران خواست تا به‌روزرسانی لازم را انجام دهند.

طی دو هفته‌ی گذشته، تیم بررسی add-on Mozilla، 197 افزونه‌ی (add-on) مرورگر #Mozilla را به دلیل اجرای کد مخرب، سرقت اطلاعات کاربر یا استفاده از ابهام‌سازی جهت مخفی‌کردن کد منبعشان، ممنوع ساخته است.
Mozilla به‌منظور جلوگیری از نصب جدید این افزونه‌های مخرب، آن‌ها را از پورتال Add-on حذف و در مرورگرهای کاربرانی که قبلاً آن‌ها را نصب کرده‌اند، غیرفعال کرده است.
اکثر این ممنوعیت‌‌ها، مربوط به 129 افزونه‌ی ارایه‌شده توسط 2Ring (ارایه‌دهنده‌ی نرم‌افزار B2B) است. اجرای این ممنوعیت بدین دلیل است که این افزونه‌ها کد را از یک کارگزار راه‌دور دانلود و اجرا می‌کنند. در حالیکه طبق قوانین Mozilla، افزونه‌ها باید تمامی کدهایشان را از خودشان داشته باشند و نباید کد را به صورت پویا از مکان‌های راه‌دور دانلود کنند. دانلود کد از یک کارگزار راه‌دور به عاملین تهدید اجازه می‌دهد کد مخرب را زمانی که یک بار به صورت پویا از یک کارگزار تحت کنترلشان دانلود می‌شود، درون مرورگر اجرا کنند.
شش افزونه‌ی ارایه‌شده توسط Tamo Junto Caixa و سه افزونه‌ای که به نظر می‌آمد محصولات جعلی حق اشتراک (premium) باشند نیز به دلیل دانلود و اجرای کد راه‌دور ممنوع شده‌اند.
برخی از ممنوعیت‌ها به دلیل جمع‌آوری غیرقانونی اطلاعات کاربران اعمال شده‌اند. کارمندان Mozilla یک افزونه‌ی بی‌نام، افزونه‌های WeatherPool and Your Social، Pdfviewer-tools، RoliTrade و Rolimons Plus را به دلیل جمع‌آوری غیرقانونی اطلاعات کاربران ممنوع کرده‌اند.
این ممنوعیت‌ها به دلیل رفتارهای مخرب افزونه‌ها نیز بر روی آن‌ها اعمال شده‌ است. بازرسان Mozilla، 30 افزونه را که انواع مختلف رفتارهای مخرب را نمایش می‌دادند، ممنوع کردند. موزیلا فقط شناسه‌های این افزونه‌ها را ذکر کرده است، نه نامشان. بنابراین توسعه‌دهندگان این افزونه‌ها می‌توانند با حذف رفتار مخرب افزونه‌هایشان، در مورد ممنوعیتشان درخواست تجدیدنظر کنند. یکی از افزونه‌هایی که مراحل تجدیدنظر را پشت‌ سر گذاشته است، افزونه‌ی Like4Like.org است. گویا این افزونه ابتدا اعتبارنامه‌ها یا نشانه‌های (token) وب‌سایت‌های رسانه‌های اجتماعی را جمع‌آوری و به سایتی دیگر ارسال می‌کرد. رفتار مخرب دیگر، در افزونه‌ی FromDocToPDF کشف شده است. به گفته‌ی مهندسان Mozilla، این افزونه محتوای راه‌دور را به برگ جدیدی از Firefox بارگذاری می‌کرد. افزونه‌ی دیگری از Firefox به نام Fake Youtube Downloader نیز به دلیل تلاش برای نصب بدافزار دیگری در مرورگرهای کاربران، ممنوع شده است.
افزونه‌هایی همچون EasySearch for Firefox، EasyZipTab، FlixTab، ConvertToPDF و FlixTab Search نیز برای بریدن و جمع‌آوری عبارت‌های جستجویی کاربران (یک جرم به وضوح قابل ممنوعشدن) ممنوع شدند.
کارمندان امنیتی Mozilla، دسته‌های دوتایی، نه‌تایی و سه‌تایی از افزونه‌ها را به دلیل استفاده از کد مبهم (روشی که ارایه‌دهندگان افزونه با استفاده از آن، خواندن کد را به‌منظور مخفی‌کردن رفتار مخرب افزونه، دشوار می‌سازند) ممنوع کردند.
به نظر می‌رسد این حرکت Mozilla در ادامه‌ی بررسی مستحکم او از افزونه‌های مرورگر به‌منظور حفظ حریم شخصی کاربران است. Mozilla در ماه دسامبر سال 2019 نیز، افزونه‌های Avast و AVG را از Firefox بدین دلیل که مشکوک به جاسوسی‌کردن کاربران بودند، حذف کرد.
از آنجاییکه بسیاری از افزونه‌ها توسط ارایه‌دهندگان شناخته‌شده نوشته نشده‌اند، بنابراین بهتر است هنگام استفاده از آن‌ها دقت بیشتری اعمال شود:
- تا آنجا که ممکن است افزونه‌های کمتر و تنها از فروشگاه‌های رسمی نصب شوند.
- نظرات و بازخوردهای کاربرانی که افزونه‌ی موردنظر را نصب کرده‌اند حتماً مورد بررسی قرار گیرد.
- به اعتبار توسعه‌دهنده، اینکه چه میزان در مقابل سؤالات مسئولیت‌پذیر هستند و اینکه هر چند وقت یک بار نسخه‌های به‌روزرسانی را ارسال می‌کنند توجه شود.
- مجوزهای درخواست‌شده مورد مطالعه قرار گیرد (در Firefox، Options > Extensions and Themes > Manage) و بررسی شود آیا مطابق با ویژگی‌های افزونه است یا خیر. اگر این مجوزها تغییر کردند باید نسبت به آن‌ها مشکوک شد.

#Magento برای رفع آسیب‌پذیری‌های متعدد در پلت‌فرم تجارت الکترونیک خود، نسخه‌ی 2.3.4 را منتشر کرد.
این آسیب‌پذیری‌ها، Magento Commerce (نسخه‌‌های 2.2.10/2.3.3 و قبل از آن)، Open Source (نسخه‌های 2.2.10/2.3.3 و قبل از آن)، Enterprise Edition (نسخه‌های 1.14.4.3 و قبل از آن) و Community (نسخه‌های 1.9.4.3 و قبل از آن) را تحت تأثیر قرار می‌دهند.
نسخه‌ی 2.3.4 از Magento، در مجموع 6 آسیب‌پذیری را برطرف می‌کند که سه مورد از آن‌ها به‌عنوان بحرانی و بقیه به‌عنوان مهم ارزیابی می‌شوند.
یکی از سه نقص بحرانی که با شناسه‌ی "3719-2020-CVE" دنبال می‌شود، یک نقص تزریق SQL است. حملات تزریق SQL در شرایطی رخ می‌دهد که یک توسعه‌دهنده‌ی وب، داده‌های تهیه‌شده توسط کاربر را به‌خوبی بررسی نمی‌کند و همین امر می‌تواند منجر به خواندن و نوشتن دلخواه داده‌های مورد استفاده در یک برنامه‌ی وب شود. یک مهاجم می‌تواند با ارسال یک جستجوی مخرب در کادر جستجوی وب‌سایت، از این مزیت استفاده کرده و اطلاعات حساس را فاش کند.
دو نقص حیاتی دیگر (3716-2020-CVE و 3718-2020-CVE)، مسائل مربوط به کدگشایی داده‌های غیرقابل اعتماد و دورزدن امنیت هستند و هر دو می‌توانند منجر به اجرای کد دلخواه شوند.
دو مورد از سه نقص مهم مربوط به آسیب‌پذیری اسکریپت مخرب ذخیره‌شده (XSS) و مسئله‌ی عبور مسیر هستند که می‌توانند توسط مهاجمان برای نشت اطلاعات حساس مورد سوءاستفاده قرار گیرند.
حملات XSS هنگامی رخ می‌دهد که یک مهاجم از یک برنامه‌ی وب برای ارسال کد مخرب (به‌طور کلی به شکل اسکریپت سمت مرورگر)، برای کاربر نهایی استفاده کند. اگر مرورگر، اعتبار اسکریپت را تأیید نکرده و آن را اجرا کند، اسکریپت می‌تواند به کوکی‌ها، نشانه‌های جلسه یا سایر اطلاعات حساس حفظ‌شده توسط مرورگر دسترسی پیدا کند.
راهکارها و وصله‌ها
Magento یکی از سیستم‌عامل‌های هدف گروه Magecart است. این گروه شامل چندین گروه تهدید مختلف است که وب‌سایت‌ها را با سوءاستفاده از آسیب‌پذیری‌های موجود در سیستم‌عامل‌های تجارت الکترونیکی شخص ثالث به‌خطر می‌اندازند تا بتوانند اسکریپت‌های مخصوص اسکن کارت را در صفحات پرداخت تزریق کنند.
به مدیران فروشگاه‌های الکترونیکی مبتنی بر Magento توصیه می‌شود که در اسرع وقت جدیدترین نسخه‌ی مربوط به سیستم‌عامل خود را طبق جدول زیر نصب کنند؛ زیرا خطر سوءاستفاده از این آسیب‌پذیری‌ها توسط فعالان تهدید بسیار زیاد است.
 

تروجان #TrickBot (نوعی بدافزار تغییر شکل داده شده) که از سال 2016 ظهور پیدا کرده، اخیراً به سرقت اعتبارنامه‌های Active Directory می‌پردازد. کارشناسان تخمین می‌زنند که این تروجان تاکنون امنیت 250 میلیون اکانت ایمیل را به خطر انداخته باشد. TrickBot پیش‌تر به جای دور زدن مکانیسم امنیتی Windows Defender بطور کلی این سرویس را در سیستم‌های کاربران ویندوز 10 غیرفعال می‌کرد. TrickBot اساساً یک تروجان بانکی است و بطور کلی از طریق ارسال ایمیل‌های صورتحساب منتشر می‌شود و معمولا بصورت یک فایل word یا Excel آلوده به ایمیل‌ها پیوست می‌شود. یکی دیگر از راه‌های انتشار این تروجان بهره‌برداری از آسیب‌پذیری‌های موجود در پروتکل SMB است که اشتراک‌گذاری و دسترسی به فایل‌ها را بین چند سیستم برای کاربران ویندوز فراهم می‌کند.

درباره‌ی ماژول جدید این تروجان
ماژول جدید تروجان TrickBot،معروف به «ADII» که توسط یک محقق امنیتی در Virus Total به نام Sandor Nemes تشخیص داده شد با اجرای یک سری دستورات، اطلاعات Active Directory ویندوز را به سرقت می‌برد.
پایگاه داده Active Directory ویندوز به‌صورت پیش فرض در آدرس C:\Windows\NTDS در domain controller (که در اینجا یک سرور درنظر گرفته شده) تولید و ذخیره می‌شود. همه‌ی اطلاعات شامل پسوردها، کامپیوترها، کاربران و گروه‌های Active Directory ویندوز در فایلی به نام "ntds.dit" در پایگاه داده مذکور ذخیره می‌شود. از آنجایی که همه این اطلاعات حساس هستند، ویندوز با استفاده از یک BootKey که در کامپوننت سیستمی در تنظیمات Registry نگهداری می‌شود، اطلاعات حساس را رمزنگاری می‌کند. مدیرانی که وظیفه نگهداری و کار با این پایگاه داده را به عهده دارند با ابزار مخصوصی به نام ntdsutil با آن ارتباط برقرار می‌کنند چرا که بطور معمول امکان دسترسی به BootKey وجود ندارد.

TrickBot چگونه اعتبارنامه‌های Active Directory را به سرقت می‌برد؟
معمولا مدیران شبکه برای نسخه برداری از اطلاعات Active Directory از دستور "install from media" که با عنوان "ifm" نیز شناخته می‌شود، استفاده می‌کنند. اجرای این دستور به راه‌اندازی Domain Controllerهای جدید می‌انجامد. ماژول جدید «ADII» با استفاده از دستور ifm یک کپی از پایگاه داده Active Directory تولید می‌کند؛ پس از آنکه کپی پایگاه داده در پوشه%Temp% ذخیره شد، بات کپی را برمی‌دارد. اطلاعات موجود در کپی پایگاه داده می‌تواند در آلوده کردن دیگر سیستم‌های همان شبکه و آلودگی آنها به عنوان بدافزارهای دیگر به تروجان TrickBot کمک کند.

محققان امنیت سایبری یک آسیب‌پذیری بحرانی جدید با شناسه "CVE-2020-7247" را در سرور ایمیل OpenSMTPD کشف کرده‌اند که می‌تواند به مهاجمان از راه دور اجازه دهد تا کنترل کامل BSD و بسیاری از سرورهای مبتنی بر لینوکس را بدست گیرند.
OpenSMTPD یک پیاده‌سازی اپن سورس از پروتکل سمت سرور SMTP است که در ابتدا به عنوان بخشی از پروژه OpenBSD توسعه داده شد اما در حال حاضر بر روی بسیاری از سیستم‌های مبتنی بر یونیکس به صورت از پیش نصب شده وجود دارد.
طبق تحقیقات آزمایشگاه‌ Qualys -کاشف این آسیب‌پذیری- این نقص مربوط به تابع اعتبارسنجی آدرس فرستنده‌ی OpenSMTPD، به نام smtp_mailaddr() است که می‌تواند برای اجرای دستورات دلخواه shell با بالاترین سطح دسترسی روت، بر روی یک سرور آسیب‌پذیر و تنها با ارسال پیام‌های جعلی خاص به آن سرور، مورد اکسپلویت قرار گیرد.
آسیب‌پذیری ذکر شده، نسخه 6.6 سیستم‌عامل OpenBSD را تحت تأثیر قرار می‌دهد. به گفته محققان، اکسپلویت این آسیب‌پذیری از لحاظ تعداد کاراکترها محدودیت‌هایی دارد (حداکثر 64 کاراکتر مجاز است) و کاراکترها باید محدود شوند ('$', '|').
محققان Qualys توانستند با استفاده از تکنیکی برگرفته از کرم Morris (یکی از اولین کرم‌های رایانه‌ای که از طریق اینترنت توزیع می‌شود) با اجرای بدنه ایمیل به عنوان یک شل اسکریپت Sendmail، به این محدودیت‌ها غلبه کنند.
علاوه براین، محققان همچنین یک کد اثبات مفهومی را برای تشریح آسیب‌پذیری OpenSMTPD منتشر کرده‌اند. آنها وجود این آسیب‌پذیری را به توسعه دهندگان OpenSMTPD گزارش داده‌اند و به دنبال آن، نسخه 6.6.2p1 OpenSMTPD به همراه یک وصله امنیتی و همچنین یک بروزرسانی برای کاربرانOpenBSD منتشر شده است.
به کاربران توصیه می‌شود هر چه سریع‌تر این وصله امنیتی را اعمال نمایند.

اخیراً #‫آسیب‌پذیری‌های چندگانه در PHP کشف شده است که شدیدترین آنها منجر به اجرای کد دلخواه خواهد شد. PHP از طیف گسترده‌ای از سیستم عامل‌ها پشتیبانی می‌کند و توسط تعداد زیادی وب‌اپلیکیشن استفاده می‌شود که با بهره‌برداری موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها، می‌توان کد دلخواه را اجرا کرد. بسته به مجوزهای مرتبط با برنامه، یک مهاجم می‌تواند برنامه‌هایی را نصب، مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربر ایجاد کند. همچنین در صورت بهره‌برداری ناموفق، ممکن است شرایط منع سرویس ایجاد شود.

نسخه‌های تحت تأثیر:

• PHP 7.2نسخه‌‌های قبل‌‌تر از7.2.27
• PHP 7.3 نسخه‌‌های قبل‌‌تر از 7.3.14
• PHP 7.4 نسخه‌‌های قبل‌‌تر از 7.4.2

جزئیات این آسیب‌پذیری‌ها به شرح زیر است:
نسخه 27/2/7:

• Bug #79037 (global buffer-overflow in mbfl_filt_conv_big5_wchar). (CVE-2020-7060)
• Bug #79091 (heap use-after-free in session_create_id())
• Bug #79099 (OOB read in php_strip_tags_ex). (CVE-2020-7059)
نسخه 14/3/7:
• Bug #78999 (Cycle leak when using function result as temporary)
• Bug #79033 (Curl timeout error with specific url and post)
• Bug #79015 (undefined-behavior in php_date.c)
• Bug #78808 ([LMDB] MDB_MAP_FULL: Environment mapsize limit reached)
• Bug #74170 (locale information change after mime_content_type)
• Bug #78923 (Artifacts when convoluting image with transparency)
• Bug #79067 (gdTransformAffineCopy() may use unitialized values)
• Bug #79068 (gdTransformAffineCopy() changes interpolation method)
• Bug #79029 (Use After Free's in XMLReader / XMLWriter)
• Bug #79037 (global buffer-overflow in mbfl_filt_conv_big5_wchar)
• Bug #79040 (Warning Opcode handlers are unusable due to ASLR)
• Bug #78402 (Converting null to string in error message is bad DX)
• Bug #78983 (pdo_pgsql config.w32 cannot find libpq-fe.h)
• Bug #78980 (pgsqlGetNotify() overlooks dead connection)
• Bug #78982 (pdo_pgsql returns dead persistent connection)
• Bug #79091 (heap use-after-free in session_create_id())
• Bug #78538 (shmop memory leak)
• Bug #79099 (OOB read in php_strip_tags_ex). (CVE-2020-7059)
• Bug #54298 (Using empty additional_headers adding extraneous CRLF)
نسخه 2/4/7:
• Bug #79022 (class_exists returns True for classes that are not ready to be used)
• Bug #78929 (plus signs in cookie values are converted to spaces)
• Bug #78973 (Destructor during CV freeing causes segfault if opline never saved)
• Bug #78776 (Abstract method implementation from trait does not check "static")
• Bug #78999 (Cycle leak when using function result as temporary)
• Bug #79008 (General performance regression with PHP 7.4 on Windows)
• Bug #79002 (Serializing uninitialized typed properties with __sleep makes unserialize throw)
• Bug #79033 (Curl timeout error with specific url and post)
• Bug #79063 (curl openssl does not respect PKG_CONFIG_PATH)
• Bug #79015 (undefined-behavior in php_date.c)
• Bug #78808 ([LMDB] MDB_MAP_FULL: Environment mapsize limit reached)
• Bug #79046 (NaN to int cast undefined behavior in exif)
• Bug #74170 (locale information change after mime_content_type)
• Bug #79067 (gdTransformAffineCopy() may use unitialized values)
• Bug #79068 (gdTransformAffineCopy() changes interpolation method)
• Bug #79029 (Use After Free's in XMLReader / XMLWriter)
• Bug #79037 (global buffer-overflow in mbfl_filt_conv_big5_wchar). (CVE-2020-7060)
• Bug #78961 (erroneous optimization of re-assigned $GLOBALS)
• Bug #78950 (Preloading trait method with static variables)
• Bug #78903 (Conflict in RTD key for closures results in crash)
• Bug #78986 (Opcache segfaults when inheriting ctor from immutable into mutable class)
• Bug #79040 (Warning Opcode handlers are unusable due to ASLR)
• Bug #79055 (Typed property become unknown with OPcache file cache)
• Bug #78402 (Converting null to string in error message is bad DX)
• Bug #78983 (pdo_pgsql config.w32 cannot find libpq-fe.h)
• Bug #78980 (pgsqlGetNotify() overlooks dead connection)
• Bug #78982 (pdo_pgsql returns dead persistent connection)
• Bug #79091 (heap use-after-free in session_create_id())
• Bug #79031 (Session unserialization problem)
• Bug #78538 (shmop memory leak)
• Bug #79056 (sqlite does not respect PKG_CONFIG_PATH during compilation)
• Bug #78976 (SplFileObject::fputcsv returns -1 on failure)
• Bug #79099 (OOB read in php_strip_tags_ex). (CVE-2020-7059)
• Bug #79000 (Non-blocking socket stream reports EAGAIN as error)
• Bug #54298 (Using empty additional_headers adding extraneous CRLF)

برای رفع این آسیب‌پذیری‌ها توصیه می‌شود بلافاصله پس از تست مناسب، PHP خود را به آخرین نسخه ارتقاء دهید.

منابع:

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-…

PHP:
https://www.php.net/ChangeLog-7.php#7.2.27
https://www.php.net/ChangeLog-7.php#7.3.14
https://www.php.net/ChangeLog-7.php#7.4.2

بیش از 2000 وب‌سایت #‫وردپرس آلوده به جاوااسکریپت مخربی هستند که بازدیدکنندگان سایت را به وب‌سایت‌های تقلبی هدایت می‌کند و شرایطی فراهم می‌سازد که بعداً بدافزار بیشتری دانلود شود.
دسترسی به وب‌سایت‌های وردپرس از طریق سوءاستفاده از آسیب‌پذیری‌های پلاگین‌های مختلفی همچون Simple Fields و CP Contact Form با PayPal حاصل می‌شود. اوج این فعالیت‌های مخرب در هفته‌ی سوم ماه ژانویه سال 2020 روی داده است. پس از ورود به سایت وردپرس، ابتدا جاوااسکریپت، بازدیدکننده را به چهار وب‌سایت مخرب gotosecond2[.]com، adsformarket[.]com، admarketlocation[.]com و admarketlocation[.]com هدایت می‌کند. سپس لینک statistic[.]admarketlocation[.]com/clockwork?&se_referrer= یا track[.]admarketresearch[.]xyz/?track&se_referrer= در سایت WordPress بارگذاری می‌شود تا خرابکاری نهایی جاوااسکریپت مخرب را ارایه دهد. این اقدام آخر بسیار مشکل‌ساز است، زیرا به مهاجم اجازه می‌دهد تغییرات بیشتری در سایت ایجاد کند یا بدافزار بیشتری همچون درب‌پشتی‌های PHP و ابزار هک را جهت کمک به حفظ پایداری‌شان وارد نماید.
همچنین مشاهده شده است که مهاجمان از ویژگی‌های /wp-admin/ برای ساخت دایرکتورهای جعلی پلاگین که شامل بدافزار بیشتری است سوءاستفاده می‌کنند. رایج‌ترین دایرکتورهای جعلی پلاگین که توسط محققان کشف شده‌اند عبارتند از /wp-content/plugins/supersociall//supersociall.php و wp-content/plugins/blockspluginn/blockspluginn.php.
به صاحبان وب‌سایت‌ها توصیه می‌شود تغییر پوشه‌های اصلی را غیرفعال سازند؛ این امر مانع از درج فایل‌های مخرب توسط هکرها می‌شود، یا بخشی از سخت‌افزاری‌کردن امنیت وردپرس و بهترین روش امنیتی را به کار گیرند.

باج‌افزار STOP (djvu)، فعال‌ترین و شایع‌ترین باج‌افزار سال 2019 شناخته شده است. در سال جدید میلادی نیز این باج‌افزار بسیار فعال بوده و افراد زیادی درگیر آن شده‌اند. این باج‌افزار دارای نسخه‌های گوناگونی است و تاکنون بیش از 200 نسخه مختلف از آن شناسایی شده است. در نسخه‌های جدید این باج‌افزار، پسوندهای TOPI و KODC به انتهای فایل‌های رمز شده افزوده شده و پیغامی مشابه شکل زیر نمایش داده می‌شود.

دانلود گزارش