برای اولین بار از یک #‫آسیب‌‌پذیری استفاده پس از آزادسازی #(use-after-free) به‌طور گسترده در حملات استفاده شده است. این آسیب‌پذیری که با شناسه‌ی CVE-2019-2215 ردیابی می‌شود در ماه اکتبر سال 2019 توسط محققان Google Project Zero به عنوان یک آسیب‌پذیری روزصفرم افشا شد. این نقص ابتدا در ماه دسامبر سال 2017 در هسته‌ی Linux 4.14، هسته‌ی 3.18 پروژه‌ی متن‌باز اندروید (AOSP)، هسته‌ی AOSP 4.4 و هسته‌ی AOSP 4.9 برطرف شده بود. دو سال بعد، این آسیب‌پذیری همچنان Pixel 2؛ Pixel 1؛ Huawei P20؛ Xiaomi Redmi 5A؛ Redmi Note 5 و A1؛ Oppo A3؛ گوشی‌های LG دارای اندروید Oreo و گوشی‌های سامسونگ مدل‌های Galaxy S7,S8 و S9 را تحت‌تأثیر قرار می‌داد.
گوگل وصله‌هایی برای این نقص در مجموعه اصلاحات اندرویدی ماه اکتبر سال 2019 منتشر ساخت.
بنا به اطلاعات جمع‌آوری شده توسط کارشناسان، از این آسیب‌پذیری سوءاستفاده شده است. این آسیب‌پذیری توسط شرکت باج‌افزاری اسرائیل، NSO (معروف به ساختن بدافزار iOS مشهور Pegasus) سوءاستفاده شده است و از آن برای نصب یک نسخه از Pegasus سوءاستفاده می‌کند.
اکنون محققان دریافته‌اند سه برنامه‌ی مخرب که از ماه مارس سال 2019 در فروشگاه Google Play در دسترس بوده است، به‌منظور به خطر انداختن دستگاه کاربر و جمع‌آوری اطلاعات با هم کار می‌کنند. یکی از این برنامه‌ها که Camero نامیده می‌شود از آسیب‌پذیری CVE-2019-2215 سوءاستفاده می‌کند. این آسیب‌پذیری در Binder (اصلی‌ترین سیستم ارتباطی درون‌فرایندی اندروید) وجود دارد. بررسی‌های بیشتر نشان می‌دهد که هر سه‌ی این برنامه‌ها مربوط به گروه تهدید SideWinder (فعالیت خود را از سال 2012 آغاز کرده و ماشین‌های ویندوزی موجودیت‌های ارتش را هدف قرار می‌دهد) هستند. این سه برنامه از این جهت به گروه SideWinder نسبت داده شده‌اند که به نظر می‌رسد کارگزارهای C&C استفاده شده مربوط به بخشی از ساختار SideWinder باشند. علاوه‌براین، یک URL که به یکی از صفحات Google Play این برنامه‌ها لینک می‌خورد نیز در یکی از این کارگزارهای C&C یافت شده است.

دانلود پیوست

محققان امنیتی هشدار داده‌اند كه يك #‫آسيب‌پذيری شناخته‌شده که بر محصول #VPN از شرکت Pulse Secure تأثیر می‌گذارد، توسط مجرمان سایبری برای ارایه‌ی يك قطعه باج‌افزار با نام REvil، مورد استفاده قرار گرفته است.
این نقص که با شناسه‌ی " CVE-2019-11510" ردیابی می‌شود، یک حفره‌ی امنیتی است که به مهاجمین راه دور و بدون اعتبار اجازه می‌دهد تا از راه دور به شبکه‌ی شرکت‌ها متصل شوند، تأیید هویت چندعاملی را غیرفعال کنند و از راه دور سیاهه‌ها و گذرواژه‌های ذخیره‌شده در متن ازجمله گذرواژه‌های حساب کاربری Active Directory را مشاهده کنند.
باج‌افزارREvil (Sodinokibi) در ماه دسامبر سال 2019 کشف شد و طی یک ماه، به چندین درگاه ارائه‌دهنده‌ی خدمات و همچنین بیش از 400 مطب دندانپزشکی نفوذ کرد.
محققان این باج‌افزار را به‌عنوان یکی از باج‌افزارهای خطرناک طبقه‌بندی کرده‌اند؛ چراکه قادر به ایجاد ویرانی‌های شدید در سیستم میزبان است. به‌گفته‌ی آنان، مهاجمان دائماً از این باج‌افزار برای رمزگذاری سیستم‌های تجاری بسیار حساس استفاده و مبلغ هنگفتی را به‌عنوان باج درخواست می‌كنند. در ابتدا، این باج افزار از آسیب‌پذیری Oracle WebLogic در برابر سیستم‌های آلوده استفاده می‌کرد، اما این‌بار هکرها به‌دنبال غیرفعال کردن سیستم‌های ضد ویروس و نفوذ از راه سرورهای Pulse Secure VPN وصله‌نشده هستند.
مهاجمان به‌راحتی و با استفاده از موتور جستجوی Shodan.io، قادر به شناسایی سرورهای آسیب‌پذیر این VPN هستند.
هکرها برای دستیابی به شبکه از همان استراتژی باج‌افزار استفاده می‌کنند. آن‌ها متعاقباً کنترل دامنه را به‌دست گرفته و از نرم‌افزار دسترسی از راه دور برای حرکت در سیستم استفاده می‌کنند. در این مرحله، باج‌افزار REvil می‌تواند ابزارهای امنیتی را غیرفعال کند و از طریق پیام‌های فرمان "PsExec"، به تمام سیستم‌ها نفوذ کند. این فرمان معمولاً یک دستور پنهان است که سیستم قادر به اعمال آن نخواهد بود و تنها باج‌افزار، توانایی انجام آن را دارد.
طبق تحقیقات انجام‌شده، حدود 3820 سرور Pulse Secure VPN وجود دارند که هنوز در برابر این نقص امنیتی به‌روز نشده‌اند. از این تعداد، بیش از 1300 مورد، سرورهای آسیب‌پذیر مستقر در ایالات متحده هستند.
خوشبختانه بسیاری از مشتریان Pulse به‌طور مؤثری از وصله‌ی صادر‌شده در ماه آوریل سال گذشته استفاده کرده‌اند، اما برخی از سازمان‌ها هنوز این وصله‌ها را اعمال نکرده‌اند. این سازمان‌ها، آسیب‌پذیرترین سیستم‌ها در برابر حمله‌ی این باج افزار هستند.
Pulse از مشتریان خود خواسته است كه سیستم‌های خود را سریعاً وصله كنند و در صورت نیاز به کمک به صفحه‌ی پشتیبانی این شرکت با آدرس "https://support.pulsesecure.net/support/support-contacts" مراجعه نمایند.

منابع:

https://www.securityweek.com/pulse-secure-vpn-vulnerability-exploited-deliver-ransomware
https://www.zdnet.com/article/vpn-warning-revil-ransomware-targets-unpatched-pulse-secure-vpn-serve…

این نقص بحرانی با شناسه "CVE-2019-17026"، ناشی از نوعی #‫آسیب‌پذیری 'type confusion vulnerability' در کامپایلر IonMonkey just-in-time (JIT) در SpiderMonkey موتور جاوااسکریپت است.
به طور کلی این نوع آسیب‌پذیری زمانی رخ می‌دهد که کد برنامه، از objectsهای ارسالی، کورکورانه و بدون بررسی نوع آن‌ها استفاده کرده و به مهاجمان اجازه می‌دهد تا موجب از کار افتادن این برنامه یا اجرای کد موردنظر خود شوند.
پیش از این نیز، موزیلا نسخه‌های Firefox 72.0.1 و Firefox ESR 68.4.1 را جهت رفع یک آسیب‌پذیری در این مرورگر منتشر کرده بود.

موزیلا بدون آشکار ساختن جزئیات و نیز حملات احتمالی این نقص امنیتی اذعان داشت: "اطلاعات غلط در کامپایلر
IonMonkey JIT جهت تنظیم عناصر آرایه، می‌تواند علت این نوع از آسیب‌پذیری باشد."
این بدان معناست که این مسئله در موتور آسیب‌پذیر جاوااسکریپت، می‌تواند توسط یک مهاجم از راه دور برای فریب کاربر به بازدید از یک صفحه وب مخرب و سپس اجرای کد دلخواه خود بر روی سیستم و در چارچوب برنامه، مورد اکسپلویت قرار گیرد.
این آسیب‌پذیری توسط محققان امنیت سایبریِ ATA360 Qihoo به موزیلا گزارش شده است و هنوز هیچ اطلاعاتی از آن‌ها درباره تحقیقات، یافته‌ها و اکسپلویت این آسیب‎‌پذیری منتشر نشده است.
اگرچه مرورگر فایرفاکس به طور پیش فرض و خودکار بروزرسانی‌ها را اعمال می‌کند و پس از راه‌اندازی مجدد آن، نسخه جدید در دسترس می‌باشد، اما می‌توانید از مسیر زیر نیز مرورگر خود را بروزرسانی نمایید:

Menu > Help > About Mozilla Firefox

یک #‫آسیب‌پذیری اجرای کد از راه دور در Mongo Express (پنل آدمین برای مدیریت پایگاه داده‌های MongoDB) با درجه حساسیت بحرانی (CVSS 9.9) و شناسه CVE-2019-10758 وجود دارد. نسخه‌های قبل از 0.54.0 از mongo-express که از تابع "toBSON" در کامپوننت Endpoint استفاده میکنند آسیب‌پذیر هستند.
سوء استفاده از وابستگی "vm" برای اجرای دستورات "exec" در محیط اجرای ناامن منجر به بهره‌برداری از این آسیب‌پذیری می‌شود. نام کاربری و رمز عبور پیش فرض به ترتیب admin و pass می‌باشد.

با توجه به درجه حساسیت این آسیب‌پذیری، به کاربران mongo-express پیشنهاد می‌شود تا در اسرع وقت به روز رسانی‌ به نسخه 0.54.0 را انجام دهند.

#‫سیسکو برای سه #‫آسیب‌پذیری بحرانی که یک ابزار کلیدی مدیریت بستر شبکه و سوئیچ‌های آن را تحت‌تأثیر قرار می‌دهند، وصله منتشر کرده است. مهاجم با سوءاستفاده از این نقص‌ها می‌تواند از راه دور و بدون احرازهویت، احرازهویت نقطه‌پایانی را دور بزند و اقدامات دلخواه را با امتیازات مدیریتی بر روی دستگاه‌های هدف اجرا کند.
این سه نقص که با شناسه‌های CVE-2019-15975، CVE-2019-15976 و CVE-2019-15977 ردیابی می‌شوند، مدیر شبکه‌ی مرکز داده‌های سیسکو (DCNM) را تحت تأثیر قرار می‌دهند. DCNM بستری برای مدیریت مراکز داده‌ی سیسکو است که بر روی NX-OS سیسکو اجرا می‌شود. NX-OS یک سیستم‌عامل شبکه است که توسط سوئیچ‌های اترنت سری‌های Nexus سیسکو و سوئیچ‌های شبکه‌‌ی بخش ذخیره‌سازی Fibre Channel سری‌های MDS، استفاده می‌شود.
محصولاتی که تحت‌تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند عبارتند از نسخه‌های نرم‌افزاری DCNM پیش از نسخه‌ی 11.3(1) در سیستم‌عامل‌های مایکروسافت ویندوز، لینوکس و ابزار مجازی.
دو نقص CVE-2019-15975 و CVE-2019-15976، آسیب‌پذیری‌های دورزدن احرازهویت در نقطه‌پایانی‌های REST API و SOAP API نرم‌افزار DCNM هستند. این آسیب‌پذیری‌ها ناشی از وجود یک کلید رمزنگاری ثابت هستند که بین نصب‌ها به اشتراک گذاشته شد‌ه‌اند. REST یک حالت معماری برای طراحی برنامه‌های کاربردی شبکه‌ای است. پروتکل دسترسی به شئ ساده (SOAP) یک سیستم پروتکلی استاندارد است که به فرایندها اجازه می‌دهد بااستفاده از سیستم‌عامل‌های مختلفی همچون لینوکس و ویندوز، از طریق HTTP و XML آن، ارتباط برقرار کنند. یک مهاجم احرازهویت‌نشده‌ی راه دور می‌تواند با ارسال یک درخواست ساختگی خاص حاوی یک نشانه‌ی (token) نشست معتبر که بااستفاده از کلید رمزنگاری ثابت تولید شده است از طریق REST API یا SOAP API، امتیازات مدیریتی به‌دست آورد و اقداماتی انجام دهد.
نقص سوم (CVE-2019-15976)، یک آسیب‌پذیری دورزدن احرازهویت مدیر شبکه‌ی مرکز داده است. این نقص در واسط مدیریتی مبتنی بر وب DCNM وجود دارد و به یک مهاجم راه‌دور احرازهویت‌نشده اجازه می‌دهد احرازهویت را در دستگاه متأثر دور بزند. این آسیب‌پذیری ناشی از وجود اعتبارنامه‌های ثابت در واسط کاربری تحت وب است. مهاجم می‌تواند بااستفاده از اعتبارنامه‌های ثابت برای تأیید اعتبار برابر واسط کاربری، از این آسیب‌پذیری سوءاستفاده کند. سوءاستفاده‌ی موفق از این آسیب‌پذیری به مهاجم اجازه می‌دهد به بخش خاصی از واسط وب دست یابد و اطلاعات اعتبارنامه‌های خاص را از دستگاه متأثر به‌دست آورد. این اطلاعات می‌تواند برای انجام حملات بیشتر علیه سیستم نیز استفاده شود.
هر سه‌ی این آسیب‌پذیری‌ها دارای امتیاز CVSS مشترک 9.8 هستند. سیسکو این آسیب‌پذیری‌ها را در نسخه‌های 11.3(1) DCNM و نسخه‌های پس از آن وصله کرده است و از لینک https://software.cisco.com/download/home/281722751/type/282088134/release/11.3(1) می‌توان آن را دریافت کرد. همچنین این شرکت بیان کرد که هیچ راه‌حلی جهت رفع این مشکلات وجود ندارد.
به کاربران توصیه می‌شود DCNM خود را همین حالا وصله کنند و اگر وصله‌کردن برایشان میسر نیست، آن را از سیستم خود حذف کنند.

چندین #‫آسیب‌پذیری مهم در مسیریاب‌ وای‌فای #Ruckus که در سراسر جهان مورد استفاده قرار می‌گیرند، فاش شد.
Ruckus شبکه‌های بی‌سیم سطح بالایی را ارایه می‌دهد که وای‌فای شبکه (به نام 'Unleached') و مسیریاب‌های منظم را برای صدها هزار مشتری فراهم می‌کند. وای‌فای شبکه در کنفرانس‌ها، فرودگاه‌ها، هتل‌ها و سایر مناطق بزرگ که نیاز به دسترسی وای‌فای دارند، به‌کار گرفته می‌شود.
این آسیب‌پذیری‌ها شامل سه نقص اجرای کد از راه دور (RCE) مختلف است که از نشت اطلاعات و اعتبارات، دور‌زدن احراز هویت، تزریق دستور، سرریز پشته و خواندن و نوشتن فایل دلخواه ساخته می‌شوند. این بدان معناست که یک مهاجم بالقوه می‌تواند کنترل یک دستگاه هدف را از طریق اینترنت به‌دست آورد، بدون اینکه نیازی به تأیید هویت داشته باشد. هدف قراردادن دستگاه‌های مختلف از این راه، می‌تواند به یک مهاجم امکان ایجاد بات‌نت را بدهد.
به‌گفته‌ی محققان، این اشکالات می‌توانند به یک مهاجم اجازه دهند تا دسترسی ریشه‌ای به دستگاه مورد نظر را به‌دست آورند. سپس مهاجم می‌تواند علاوه بر اینکه مجدداً مسیر را به سمت سایت‌های مخرب هدایت می‌کند، همه ترافیک رمزنگاری‌نشده را از طریق شبکه‌ی هدف مشاهده کند.
محققان، سیستم‌عامل 33 نقطه‌ی دسترسی Ruckus مختلف را مورد بررسی قرار دادند و دریافتند که همه‌ی آن‌ها آسیب‌پذیر هستند.
درمجموع 10 آسیب‌پذیری مختلف کشف شدند که شرکت Ruckus به آن‌ها شماره‌ی شناسایی CVE-2019-19834 تا CVE-2019-19843 را اختصاص داده است. این شرکت، آسیب‌پذیری محصولات ZoneDirector و Unleashed را تأیید و وصله‌هایی را برای آن‌ها منتشر کرده است.
نحوه‌ی مقابله با آسیب‌پذیری‌ها
از آنجایی که برخی از این اشکالات بسیار مهم هستند، Ruckus از همه‌ی کاربران می‌خواهد که سیستم‌عامل دستگاه خود را در اولین فرصت به‌روز کنند. به‌گفته‌ی این شرکت، دستگاه‌های Ruckus به‌طور خودکار نرم‌افزار را دریافت و بارگیری نمی‌کنند، بنابراین، به مشتریانی که از Ruckus استفاده می‌کنند توصیه می‌شود طبق جدول زیر، سیستم‌عامل‌های خود را از طریق صفحه‌ی پشیبانی این شرکت (https://support.ruckuswireless.com/software)، به آخرین نسخه، به‌روز کنند.
 

محققان امنیتی اخیراً پنج #‫آسیب‌پذیری در مرورگر #‫گوگل کروم فاش کرده‌اند که می‌توانند توسط یک مهاجم برای اجرای کد از راه دور مورد سوءاستفاده قرار بگیرد.
این آسیب‌پذیری‌ها در سیستم مدیریت پایگاه‌داده‌ی SQLite وجود دارد. SQLite یک موتور پایگاه‌داده‌ی سبک است که به‌طور گسترده در مرورگرها، سیستم‌عامل‌ها و تلفن‌های همراه مورد استفاده قرار می‌گیرد.
این مجموعه که Magellan 2.0 نام دارد، از پنج آسیب‌پذیری (CVE-2019-13734، CVE-2019-13750،CVE-2019-13751 ،CVE-2019-13752 و CVE-2019-13753) تشکیل شده است. این آسیب‌پذیری‌ها می‌توانند از راه دور و از طریق صفحه‌ی HTML دستکاری‌شده مورد سوءاستفاده قرار گیرند تا مجموعه‌ای از حملات مخرب را انجام دهند.
آسیب‌پذیری‌های Magellan 2.0 به‌علت اعتبارسنجی ورودی نامناسب در دستورات SQL است که پایگاه‌داده‌ی SQLite از شخص ثالث دریافت می‌کند.
یک مهاجم می‌تواند عملیات SQL را ایجاد کند که حاوی عملیات مخرب است. هنگامی که موتورهای پایگاه‌داده‌ی SQLite این عملیات را بخواند، می‌تواند از طرف مهاجم دستورات را انجام دهد.
Magellan 2.0 بر روی نقص‌های Magellan که قبلاً فاش شده است، سه ضعف سرریز بافر و آسیب‌پذیری افشای داده‌های هیپ درSQLite (CVE-2018-20346 ، CVE-2018-20505، CVE-2018-20506) ایجاد می‌کند و منجر به اجرای کد از راه دور، نشت حافظه‌ی برنامه یا ایجاد خرابی برنامه می‌شود.
تمام برنامه‌هایی که از یک پایگاه‌داده‌ی SQLite استفاده می‌کنند، در برابر این مجموعه، آسیب‌پذیر هستند. این آسیب‌پذیری‌ها همچنین مرورگرهایی را که در آن‌ها WebSQL فعال است، تحت تأثیر قرار می‌دهند. دستگاه‌هایی که از نسخه‌های قدیمی Chrome و Chromium استفاده می‌کنند، برنامه‌های کاربردی که از نسخه‌های قدیمی Webview استفاده می‌کنند و می‌توانند به هر صفحه‌ای دسترسی داشته باشند نیز تحت تأثیر این آسیب‌پذیری‌ها قرار می‌گیرند.
راهکارها و وصله‌ها
این نقص در 16 نوامبر سال 2019 به گوگل و SQLite گزارش شد. در 11 دسامبر 2019، گوگل نسخه‌ی 79.0.3945.79 کروم را منتشر و این آسیب‌پذیری را وصله کرد.
SQLite نیز این اشکالات را در مجموعه‌ای از وصله‌ها برطرف کرده است.

یک #‫آسیب‌پذیری بحرانی در تجهیزات Citrix Application Delivery Controller با نام سابق NetScaler ADC و Citrix Gateway با نام سابق NetScaler Gateway وجود دارد که می‌تواند منجر به اجرای کد از راه دور توسط مهاجم احراز هویت نشده، گردد. طبق تحلیل شرکت Positive Technologies این آسیب‌پذیری دارای امتیاز 10 در مقیاس CVSS 3.0 است و آسیب‌پذیری با این میزان حساسیت ممکن است هر 5 تا 10 سال یک بار در محصولات شرکت‌های نرم‌افزاری بزرگ رخ دهد.
این آسیب‌پذیری تمام نسخه‌های پشتیبانی شده محصولات را تحت تأثیر قرار می‌دهد و هنوز وصله‌ای برای آن منتشر نشده است. با این وجود به علت حساسیت مسئله، Citrix راهکاری برای کاهش خطر این آسیب‌پذیری منتشر کرده است که در ادامه به آن خواهیم پرداخت. توصیه می‌شود از طریق لینک زیر برای دریافت اخبار به‌روزرسانی‌های Citrix ثبت نام کنید و به محض عرضه به‌روزرسانی آن را اعمال کنید.

https://support.citrix.com/user/alerts

همچنین استفاده از دیوار آتش وب (WAF) و نرم‌افزارهای تحلیل ترافیک می‌تواند مانع حملات شود.

نحوه کاهش خطر آسیب‌پذیری
سیستم مستقل
دستورات زیر را از طریق رابط خط فرمان تجهیز اجرا کنید تا یک سیاست و اقدام واکنشی تعریف شود:

enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config

اطمینان حاصل کنید که تغییرات به رابط‌های مدیریتی نیز اِعمال می‌شوند. دستورات زیر را از طریق رابط خط فرمان اجرا کنید.

shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

در پیکربندی High Availability (HA)
روی تجهیز اصلی

enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config
shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

بعد از بالا آمدن تجهیز اصلی، روی تجهیز ثانویه دستور زیر را اجرا کنید:

shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

در پیکربندی خوشه‌ای
روی CLIP

enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config
shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

روی هر گره خوشه

shell nsapimgr_wr.sh -ysskip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

پارتیشن ادمین

switch ns partition default
enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config
shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

نحوه برگرداندن تغییرات (Standalone,CLIP, HA Primary)

unbind responder global ctx267027
rm responder policy ctx267027
rm responder action respondwith403
save config

دستور nsapi را از rc.netscaler حذف کنید (دستور زیر، فایل مذکور را به دنبال الگوی مربوط جستجو می‌کند و خطی را که اضافه شده بود پاک می‌کند).

shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=1
shell "sed -i '' '/skip_systemaccess_policyeval=0/d' /nsconfig/rc.netscaler"
reboot

برای اعمال سیاست در هیچ کدام از حالات فوق نیازی به راه‌اندازی مجدد نیست. اما برای احتیاط بهتر است این کار انجام شود. زیرا ممکن است نشست‌هایی وجود داشته باشند که قبل از اعمال سیاست و از طریق آسیب‌پذیری ایجاد شده باشند که با راه‌اندازی مجدد حذف می‌شوند.
سایر نکات
تناقض اولویت‌ها: اولویت داده شده به سیاست واکنشی فوق برابر است با 1. اگر سیاست‌های دیگری با این اولویت وجود داشته باشند، ممکن است انتساب این سیاست دچار مشکل شود. بنابراین بهتر است اولویت سایر سیاست‌ها را به طور مناسب تغییر دهید و اولویت این سیاست را روی مقدار 1 نگه دارید.
پرچم ‘skip_systemaccess_policyeval’: این پرچم اطمینان حاصل می‌کند که سیاست‌ها روی ترافیک پورتال ادمین اجرا شوند. اگر IP پورتال ادمین در یک محیط امن‌سازی شده قرار داشته باشد، نیازی به این پرچم نیست. فعال کردن این پرچم ممکن است باعث مسدود شدن بعضی صفحات ادمین شود. در این صورت، پرچم را در هنگام عملیات نگهداری غیرفعال کرده و پس از اتمام کار خود آن را به مقدار 1 برگردانید.
گره‌هایی که از یک خوشه حذف شوند، آسیب‌پذیر اند: وقتی یک گره از خوشه حذف شود، سیاست‌های فوق و در نتیجه تأثیر حفاظتی آن از بین می‌رود. در نتیجه گره حذف شده تحت حفاظت نخواهد بود.
دانلود لینک از رابط کاربری ادمین: رابط کاربری ادمین فعلی، لینکی برای دانلود افزونه‌ها دارد. درون این لینک عبارت “vpns” وجود دارد و بنابراین پس از اعمالِ تغییرات فوق، در دسترس نخواهد بود.
/vpns/ در لینک‌های backend: اگر در مسیر هر منبع وب سرورِ backend، عبارتِ /vpns/ وجود داشته باشد، آن منبع مسدود خواهد شد.

منابع: Citrix و Positive Technologies

حققان، ابزاری جدید منتسب به گروه هکرهای FIN7 را با نام #BIOLOAD که با هدف به حداقل رساندن ردپای موجود در دستگاه قربانی و جلوگیری از مورد شناسایی قرار گرفتن ایجاد شده است را شناسایی کرده‌اند. این ابزار جدید شباهت‌هایی با ابزار BOOSTWRITE FIN7 دارد که از دستور جستجوی DLL برای اجرای برنامه سوء‌استفاده می‌کند. BOOSTWRITE از"Dwrite.dll” ارائه شده توسط سرویس تایپوگرافی DirectX مایکروسافت، سوء‌استفاده می‌کند.
ابزار جدید FIN7
ابزار BIOLOAD نسخه جدیدی از ابزار BOOSTWRITE با پایه کد یکسان هستند و Carbanak backdoor را ایجاد می‌کنند. هر دو ابزار با بکارگیری DLL های مورد نیاز در بارگیری یک برنامه از سیستم‌عامل ویندوز سوء‌استفاده می‌کنند. مهاجمین با قرار دادن نسخه‌ جعلی WinBio.dll (حاوی حروف بزرگ) در همان پوشه FaceFodUninstaller با آدرس “%WINDR%\System32\WinBioPlugIns” در دستگاه قربانی و داشتن دسترسی ادمین یا یک حساب کاربری سیستم این کار را میسر می‌سازند، سایت Fortinetنیز مطلبی را در این خصوص پست کرده است.
 

ابزارBIOLOAD با زبان C++ نوشته شده و در مارس و ژوئیه سال 2019 کامپایل شده است و به طور خاص دستگاه‌هایی با سیستم عامل 64 بیتی را هدف قرار می‌دهد. این ابزار دارای یک پیلود رمزگذاری شده مانند BOOSTWRITE است که برای رمزگشایی از الگوریتم XOR یا fetches استفاده می‌کند که مانند BOOSTWRITE، تنها از یک پیلود پشتیبانی می‌کند.

محققان خاطرنشان كردند كه با backdoor ایجاد شده ابزار سیستم را چک می‌کند که آیا علاوه بر Kaspersky، AVG وTrendMicro ، انتي ويروس دیگری نیز روی اين دستگاه اجرا شده است یا خیر. با این حال، نتیجه بر خلاف AV های قبلی که شناسایی شده‌اند، تأثیرگذاری بر روی backdoor ندارد.
به نظر می‌رسد گروه هکر FIN7 از اواسط سال 2015 فعال است، این گروه همچنان ابزارهای جدیدی را به منظور دور زدن و شکست راه حل‌های امنیتی توسعه می‌دهند.

هر دو ابزار BIOLOAD و نسخه‌ جدید Carbanak توسط بیشتر موتورهای AV کشف نشده‌اند، در پایین نتایج حاصل از پویش سامانه Virus total نشان داده شده است.

IOCs

WinBio.dll (scrubbed key and payload) SHA256
7bdae0dfc37cb5561a89a0b337b180ac6a139250bd5247292f470830bd96dda7
c1c68454e82d79e75fefad33e5acbb496bbc3f5056dfa26aaf1f142cee1af372

Carbanak SHA256
77a6fbd4799a8468004f49f5929352336f131ad83c92484b052a2eb120ebaf9a
42d3cf75497a724e9a9323855e0051971816915fc7eb9f0426b5a23115a3bdcb

این #‫آسیب‌پذیری از قابلیت #pingback فایل xmlrpc که در هسته‌ی وردپرس وجود دارد برای اعمال حملات Dos به وب‌سایت استفاده می‌کند و نتیجتاً وب‌سایت از دسترس خارج می‌شود. وردپرس‌های نسخه 5.3 به پایین آسیب‌پذیر هستند.
منشاء آسیب‌پذیری
آسیب‌پذیری از دو تابع system.multicall و pingback.ping در هسته‌ی وردپرس نشات می‌گیرد. تابع system.multicall امکان فراخوانی دیگر APIها را فراهم می‌کند و از طرفی تابع pingback.ping برای ارسال درخواست HTTPS از سرور وردپرس به هر آدرس دلخواهی استفاده می‌شود. ارسال تعداد زیادی درخواست‌های pingback.ping به سرور با استفاده از قابلیت multicall باعث اشغال بیش از حد منابع سرور شده و در نهایت موجب از دسترس خارج شدن وبسایت وردپرسی می‌شود (Denial of Service).
اکسپلویت آسیب‌پذیری
اکسپلویت منتشر شده برای این آسیب‌پذیری یک اسکریپت پایتونی (Python3) است که منجر به مصرف بیش از حد حافظه و CPU سرور آپاچی توسط سرویس MySQL می‌شود. سرورهای NGINX نیز در صورت استفاده از php-fpm آسیب‌پذیر هستند.
شکل زیر صفحه‌ی لاگین سایت وردپرسی آسیب‌پذیر را بعد از عملیاتی کردن آسیب‌پذیری نشان می‌دهد.
 

برای غیرفعال کردن XML-PRC در وردپرس کافی است قطعه کد زیر را در فایل .htaccess در پوشه public_html قرار دهید.

# Block WordPress xmlrpc.php requests
order deny,allow
deny from all
allow from 123.123.123.123

روش دیگر استفاده از افزونه Remove XML-RPC Pingback Pingاست که XML-PRC را بطور کل غیرفعال نمی‌کند و تنها ویژگی pingback وب‌سایت غیرفعال می‌شود.
منبع:

https://cxsecurity.com/issue/WLB-2019120088