مایکروسافت در تاریخ 13 آگوست 2019 (22 مرداد 98) تعدادی وصله امنیتی برای برطرف‌سازی دو آسیب‌پذیری بحرانی از نوع Remote Code Execution (RCE) در سرویس ریموت دسکتاپ (#RDP) با شناسه‌های CVE-2019-1181 ،CVE-2019-1182 ،CVE-2019-1222 و CVE-2019-1226 ارائه نمود.
به گزارش مرکز پاسخ‌دهی به حوادث سایبری مایکروسافت، آسیب‌پذیری‌های مورد اشاره که ویندوزهای 7 SP1 ، Server 2008 R2 SP1 ، Server 2012 ، 8.1 ، Server 2012 R2 و تمامی نسخه‌های ویندوز 10 شامل نسخه‌های سرور آن را تحت تأثیر قرار می‌دهند.(آسیب پذیری های CVE-2019-1222 و CVE-2019-1226 مربوط به ویندوز 10 و ویندوز سرور میباشند) بر اساس این آسیب پذیری، هنگامی که یک مهاجم از طریق پروتکل RDP با ارسال درخواست‌هایی با سیستم هدف ارتباط برقرار می‌کند، به علت اینکه این آسیب پذیری‌ها مربوط به پیش از احراز هویت می‌باشند، به هیچ گونه تعامل با کاربر نیاز ندارد. لذا در صورت سوء‌استفاده مهاجمین از این آسیب پذیری‌ها، امکان اجرای کد دلخواه از راه دور بر روی سیستم هدف و کنترل کامل سیستم عامل قربانی وجود خواهد داشت. وصله امنیتی منتشر شده توسط مایکروسافت با اصلاح نحوه پاسخگویی به درخواست های اتصال در سرویس ریموت دسکتاپ امکان این سوء‌استفاده را از بین می‌برد.
تجارب گذشته در خصوص حملات گسترده مبتنی بر آسیب‌پذیری (از جمله باج‌افزار واناکرای) در سطح اینترنت نشان می‌دهد که معمولاً پس از گذشت مدتی از انتشار آسیب‌پذیری‌ها و وصله‌های امنیتی مربوط به آن‌ها، سیستم‌های در معرض خطر که در آن‌ها آسیب‌پذیری مذکور مرتفع نشده، هم خود مورد حملات متعدد قرار گرفته و هم از آن‌ها برای حمله به سیستم‌ها و شبکه‌های دیگر بهره‌برداری می‌گردد.
لذا با توجه به اهمیت موضوع، به تمام مدیران و راهبران شبکه توصیه اکید می‌گردد که قبل از انتشار کدهای مخرب برای سوءاستفاده از این آسیب‌پذیری‌ها، نسبت به رفع آن‌ها در سیستم‌عامل‌های مجموعه تحت مدیریت خود اقدامات لازم را در دستور کار قرار دهند. وصله‌های امنیتی منتشرشده برای آسیب‌پذیری‌های مذکور از وب‌سایت رسمی مایکروسافت به آدرس‌های زیر قابل دریافت است. همچنین کاربران با فعال‌سازی قابلیت به‌روز‌رسانی خودکار ویندوز نیز قادر به دریافت این وصله‌ها می‌باشند.

MITRE CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

MITRE CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

در پایان توصیه می‌گردد با توجه به سوءاستفاده اکثر مهاجمین و بدافزارها از سرویس ریموت دسکتاپ، اولاً این سرویس در صورت امکان مسدود گردد. ثانیاً در صورت ضرورت استفاده، با رعایت ملاحظات امنیتی و اعمال سیاست‌های امنیتی مناسب در فایروال بکار گرفته شود.

#VMware در یک به‌روزرسانی امنیتی برای مجموعه‌ای از محصولاتش، دو آسیب‌پذیری مهم موجود در آن‌ها را رفع کرده است. بهره‌برداری از این دو آسیب‌پذیری، با مجوزهای کاربری، می‌تواند منجر به اجرای کد از راه دور، افشای اطلاعات حساس و ایجاد حملات DoS شود.

نوع، شناسه و سطح اهمیت این دو آسیب‌پذیری به شرح زیر است.

• یک آسیب‌پذیری خواندن خارج از محدوده با شناسه CVE-2019-5521 و سطح اهمیت 6.3 تا 7.7 در مقیاس CVSSv3
• یک آسیب‌پذیری نوشتن خارج از محدوده با شناسه CVE-2019-5684 و سطح اهمیت 8.8 در مقیاس CVSSv3

آسیب‌پذیری خواندن خارج از محدوده به مهاجم توانایی خواندن اطلاعات حساس را از سایر مکان‌های حافظه می‌دهد که ممکن است منجر به افشای اطلاعات و همچنین ایجاد شرایط DoS شود.

آسیب‌پذیری نوشتن خارج از محدوده هم زمانی می‌تواند مورد بهره‌برداری قرار بگیرد که میزبان درایور گرافیکی NVIDIA را نصب کرده باشد. بهره‌برداری موفقیت‌آمیز این آسیب‌پذیری به مهاجم اجازه اجرای کد روی سیستم میزبان را می‌دهد.

محصولات آسیب‌پذیر هم موارد زیر می‌باشد:

• VMware vSphere ESXi (ESXi)
• VMware Workstation Pro / Player (Workstation)
• VMware Fusion Pro / Fusion (Fusion)

برای بهره‌برداری موفق از این دو آسیب‌پذیری و دسترسی پیدا کردن به ماشین مجازی، باید ویژگی 3D graphics فعال باشد که این ویژگی به صورت پیش‌فرض در دو محصول Workstation Pro و Fusion Pro فعال است.

به کاربران توصیه می‌شود که وصله مربوط به محصول VMware خود را بلافاصله اعمال کنند.

طبق گزارش شرکت امنیتی #Imperva، یک بات‌نت تحت میرای حملات #DDoS گسترده‌ای را طی 13 روز بر روی یک سرویس Streaming آنلاین راه‌اندازی کرده است.

طبق بررسی‌های صورت گرفته، بیش از 402 هزار آی‌پی مرتبط با این #‫بات‌نت مشاهده شده است که بیشتر آن‌ها مربوط به کشور برزیل بوده‌اند. این بات‌نت دستگاه‌های IoT را که پورت‌های 2000 و 7547 آن‌ها باز باشد، مورد هدف قرار می‌دهد. پورت‌های باز 2000 و 7547 در دستگاه‌هایی که قبلاً توسط بدافزار میرای آلوده شده بودند، جزو این موارد بوده است.
حملات این بات‌نت دارای پیک 242 هزار درخواست در ثانیه می‌باشد که بزرگترین حمله روی لایه اپلیکیشن است که تابحال توسط این شرکت امنیتی شناسایی شده است.
این بات‌نت در بیشتر موارد کامپوننت احراز هویت در سرویسStreaming را هدف قرار می‌دهد و هنوز تعیین نشده است که هدف مهاجمان پشت این بات‌نت اجرای حملات Brute force است یا حملات DDoS، اما بدون یک مکانیزم مقابله دقیق، هر دو این حملات قابل اجرا می‌باشند.

منبع خبر:

https://www.securityweek.com/mirai-based-botnet-launches-massive-ddos-attack-streaming-service

در یک گزارش اخیراً مشاهده شده است که نسخه‌های مابین 7 تا 9 از #‫سیستم‌عامل اندروید دارای یک #‫آسیب‌پذیری خطرناک بحرانی می‌باشد که به مهاجم از راه دور اجازه اجرای کد دلخواه در سیستم‌عامل را می‌دهد. این آسیب‌پذیری ناشی از یک نقص نوشتن خارج از محدوده در تابع ihevcd_parse_pps موجود در ihevcd_parse_headers.c می‌باشد.
آسیب‌پذیری مذکور با شناسه CVE-2019-2107، دارای نمره 9.3 در مقیاس CVSS V2 و نمره 8.8 در مقیاس CVSS V3 می‌باشد و جز آسیب‌پذیری‌های‌ بحرانی و مهم محسوب می‌شود. مهاجم می‌تواند با متقاعد کردن کاربر به باز کردن یک فایل آلوده مثل یک ویدیو با پیلود مخرب، از این آسیب‌پذیری برای اجرای کد دلخواه و به دست گرفتن کنترل کامل دستگاه اندرویدی بهره‌برداری کند.
با توجه به اینکه POC این آسیب‌پذیری در github وجود دارد، گوگل بلافاصله وصله امنیتی مربوطه را منتشر کرد. پس به کاربران توصیه می‌شود که هرچه سریعتر اقدام به بروزرسانی سیستم‌عامل اندروید خود کنند.

#‫آسیب‌پذیری‌های چندگانه در آنتی‌ویروس #Comodo کشف شده است که یکی از آن‌ها به مهاجم اجازه فرار از سندباکس و ارتقاء سطح دسترسی را می‌دهد.
یکی از محققان امنیتی Tenable به نام David Wells، این پنج آسیب‌پذیری را در آنتی‌ویروس Comodo کشف کرده است که چهار مورد آن در نسخه12.0.0.6810 وجود دارد و مورد آخر هم یک باگ منع سرویس در نسخه 11.0.0.6582 است.
شدیدترین این آسیب‌پذیری‌ها دارای شناسه CVE-2019-3969 و نمره 6.8 در معیار CVSS است. این آسیب‌پذیری به مهاجم اجازه دسترسی به سیستم هدف را برای فرار از سندباکس این آنتی‌ویروس و ارتقای سطح دسترسی می‌دهد. یکی دیگر از آسیب‌پذیری‌ها که دارای شناسه CVE-2019-3970 است، یک مسئله نوشتن فایل دلخواه است که می‌تواند برای ایجادfalse positives و دور زدن اعتبارسنجی مبتنی بر امضا، توسط مهاجمان مورد بهره‌برداری قرار گیرد.
سه آسیب‌پذیری دیگر هم که دارای شناسه‌های CVE-2019-3971، CVE-2019-3972و CVE-2019-3973 می‌باشند، می‌توانند برای ایجاد کرش در کرنل و کامپوننت‌های اپلیکیشن مورد بهره‌برداری قرار گیرد.
این آسیب‌پذیری‌ها در اواسط ماه آوریل به Comodo گزارش شده است، اما این توسعه‌دهنده تابحال هیچ وصله‌ای را برای رفع این آسیب‌پذیری‌ها منتشر نکرده است.
منبع:

https://www.securityweek.com/several-vulnerabilities-found-comodo-antivirus

محققان امنیتی در اوایل ماه جاری، بیش از 1300 برنامه‌ی #‫اندروید کشف کردند که اطلاعات حساس کاربران را حتی پس از رد مجوز دسترسی، جمع‌آوری می‌کنند.
تحقیقات نشان می‌دهد که توسعه‌دهندگان این برنامه‌ها، با استفاده از کانال‌های پنهان و جانبی، به جمع‌آوری اطلاعات مکان، شناسه‌های تلفن و آدرس‌های مک کاربران خود می‌پردازند.
یکی از این حملات که توسط تعدادی از محققان امنیتی سایبری کشف شده است، می‌تواند به برنامه‌های مخرب اجازه‌ دهد تا صداهای خارج‌شده از بلندگوهای گوشی‌های هوشمند را بدون نیاز به مجوز دستگاه، شنود کنند.
این حمله که "Spearphone" نامیده می‌شود، از یک سنسور حرکتی مبتنی بر سخت‌افزار استفاده می‌کند که شتاب‌سنج نامیده می‌شود و در اکثر دستگاه‌های اندروید وجود دارد. این سخت‌افزار می‌تواند بدون هیچ‌گونه محدودیتی توسط هر نرم‌افزاری که بر روی یک دستگاه نصب شده است (حتی با مجوز صفر) دسترسی پیدا کند.
شتاب‌سنج، یک سنسور حرکتی است که با اندازه‌گیری سرعت زمان تغییر، با توجه به مقدار یا جهت، به برنامه‌های کاربردی، اجازه‌ی نظارت بر حرکت دستگاه ازجمله شیب، لرزش و چرخش می‌دهد.
این حمله زمانی رخ می‌دهد که قربانی، تماس تلفنی یا تماس ویدیویی را در حالت بلندگو قرار می‌دهد یا در حال گوش دادن به یک فایل رسانه‌ای است.
از آنجایی که بلندگوی داخلی یک گوشی هوشمند در سطحی یکسان با سنسورهای حرکتی قرار دارد، هنگامی که حالت بلندگو فعال می‌شود، صداهای بلندی را در بدنه‌ی گوشی تولید می‌کند و به این‌گونه حملات اجازه می‌دهد تا به‌سادگی، برخی از ویژگی‌های گفتاری کاربر ازجمله جنسیت (با دقت بیش از 90٪) هویت (با دقت بیش از 80٪) و حتی کلمات را شناسایی کنند.
خوشبختانه این حمله نمی‌تواند برای ضبط صدای کاربران یا محیط اطراف آن مورد استفاده قرار گیرد؛ زیرا به قدری قوی نیست که بتواند بر حسگرهای حرکتی گوشی تأثیر بگذارد.
برای مقابله با چنین حملاتی، بستره‌ی اندروید می‌تواند سیاست‌های کنترل دسترسی سختگیرانه‌ای را اجرا کند که استفاده از این سنسور‌ها را محدود می‌کند. وجود یک سیاست کنترل دسترسی کنترل‌شده برای سنسورها و اجرای مدل مجوز استفاده‌ی صریح توسط برنامه‌ها، اغلب نمی‌تواند جلوی این حملات را بگیرد؛ زیرا بسیاری از کاربران به مجوزهای خواسته‌شده توجه جدی نمی‌کنند. بنابراین، ساخت داخلی گوشی هوشمند باید به گونه‌ای باشد که سنسورهای حرکتی، از ارتعاشاتی که به وسیله‌ی بلندگوهای گوشی ایجاد می‌شوند، عایق‌بندی شوند. یک راه برای اجرای این رویکرد این است که اطراف بلندگوهای ساخته‌شده را از مواد ارتعاشی ناشی از لرزش‌هایی که از بلندگوهای گوشی ایجاد می‌شوند، تخلیه یا خنثی کنند.
به کاربران توصیه می‌شود که برای محافظت از خود در برابر این حمله، به برنامه‌هایی که دانلود می‌کنند و وب‌سایت‌هایی که هنگام بازدید از آن‌ها نیاز به استفاده از ویژگی‌های بلندگو دارند، بسیار دقت کنند.

جدیدترین آمارها نشان می‌دهد که #‫بدافزارهایی که در ماه جولای شناسایی شده‌اند با لیست 10 بدافزار مخرب ماه قبل همخوانی دارند، البته مقداری افزایش در فعالیت بدافزار‌های #WannaCry و #Tinba هم مشاهده شده است.
افزایش فعالیت بدافزار #Trickbot باعث مقداری افزایش در خانواده بدافزاری Multiple شده است و کاهش قابل توجه فعالیت‌های بدافزار Qakbot هم موجب کاهش در خانواده dropped شده است.
خانواده‌های مخربی که در این ماه بسیار مطرح بوده‌اند به صورت زیر می‌باشد:
Dropped: این خانواده شامل بدافزارهای موجود بر روی سیستم، کیت‌های اکسپلویت و نرم‌افزارهای آلوده شخص ثالث می‌شود. بدافزارهای Gh0st و Pushdo در این خانواده قرار دارند.
Malspam: ایمیل‌های ناخواسته که کاربر را ترغیب به دانلود بدافزار از سایت‌های مخرب و یا باز کردن پیوست‌های مخرب موجود در ایمیل‌ها می‌کند. بدافزارهای NanoCore، Dridex، Tinba و Kovter در این خانواده قرار دارند.
Malvertising: بدافزارهایی که به منظور تبلیغات مخرب استفاده می‌شوند.
Network: بدافزارهایی که از پروتکل‌های قانونی شبکه یا ابزارهای آن مانند پروتکل SMB یا PowerShell از راه دور، بهره‌برداری می‌کنند.
Multiple: بدافزارهایی که در حال حاضر در حداقل دو خانواده بدافزاری فعالیت دارند. بدافزارهای ZeuS، CoinMiner و Trickbot حداقل در دو خانواده بدافزاری فعالیت دارند.
لیست ده بدافزار مخرب این ماه به صورت زیر است:

• Trickbot
• Dridex
• WannaCry
• ZeuS
• NanoCore
• CoinMiner
• Kovter
• Pushdo
• Tinba (Tiny Banker)
• Gh0st

شرکت #‫اپل به‌روزرسانی امنیتی مجموعه‌ای از محصولات خود شامل iOS، tvOS، Safari، macOS Mojave و watchOS را منتشر کرد تا برخی از آسیب‌پذیری‌های موجود در این محصولات را رفع کند.
سیستم‌های تحت‌تاثیر این آسیب‌پذیری‌ها به شرح زیر می‌باشد:

• watchOS: نسخه‌های قبل از 5.3
• Safari: نسخه‌های قبل از 12.1.2
• tvOS: نسخه‌های قبل از 12.4
• iOS: نسخه‌های قبل از 12.4
• macOS Mojave: نسخه 10.14.6 و به‌روزرسانی امنیتی 2019-004 برای High Sierra و Sierra

بهره‌برداری موفق از این آسیب‌پذیری‌ها توسط مهاجمان می‌تواند موجب اجرای کد دلخواه در محتوای سیستم آسیب‌پذیر شود و مهاجم می‌تواند مجوزهایی مشابه مجوزهای یک کاربر لاگین شده را بدست آورد و محدودیت‌های امنیتی را دور بزند.
تابحال هیچ گزارشی از بهره‌برداری فعالانه از این آسیب‌پذیری‌ها توسط مهاجمان ارائه نشده است و همچنین ریسک و مخاطره این آسیب‌پذیری‌ها برای سازمان‌های دولتی و کسب‌و‌کارهای تجاری، در سطح بالا و برای کاربران عادی، در سطح پایین در نظر گرفته شده است.
توصیه می‌شود که وصله منتشر شده توسط اپل، سریعاً برای همه محصولات ذکر شده اعمال شود.

منابع:

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-apple-products-could-allow-for-arbi…
https://gbhackers.com/apple-released-security-updates-4/

#‫آسیب‌پذیری شناسایی شده در ماژول mod_copy سرویس دهنده #ProFTPd به شناسه CVE-2019-12815 به مهاجمین اجازه بارگزاری فایل بدون داشتن اختیارات کافی (write permission) را می دهد. این آسیب‌پذیری تحت شرایطی می تواند منجر به اجرای کد از راه دور بر روی سرور گردد. با توجه به اینکه آخرین نسخه این نرم‌افزار (۱.۳.۶ – کامپایل شده قبل از 7/17/2019) نیز آسیب‌پذیر است، لذا اکیدا توصیه می‌گردد اقدامات زیر صورت گیرد:
• بروزرسانی به آخرین نسخه
• غیرفعال سازی ماژول mod_copy در فایل کانفیگ
• حصول اطمینان از غیرفعال بودن دسترسی anonymous
طبق بررسی اولیه،‌ شمار زیادی از سرورهای متعلق به شرکت‌های میزبانی دارای سرورهای ProFTPd بروزنشده و آسیب‌پذیر هستند.

https://www.bleepingcomputer.com/news/security/proftpd-vulnerability-lets-users-copy-files-without-…
https://www.tenable.com/blog/cve-2019-12815-improper-access-control-vulnerability-in-proftpd-disclo…

در روزهای گذشته سوءاستفاده مهاجمین از ضعف ذاتی پروتکل CLDAP# (پورت 389/UDP) جهت ایجاد حملات DDoS‌ از نوع بازتابی/تقویتی (Amplification/Reflection) شدت گرفته است. این موضوع در گزارشات واصله مراکز CERT سایر کشورها نیز مشاهده شده است. به منظور پیشگیری از سوءاستفاده از سرورها و منابع شبکه خود لازم است نسبت به مسدودسازی دسترسی به سرویس­های LDAPو CLDAP(389 UCP/TCP) از طریق اینترنت اقدام فرمایید. این نقص امنیتی در کشور، در سرویس­ دهنده های Active Directoryسیستم عامل ویندوز بیشتر رایج است.

توضیحات بیشتر در گزارش پیوست جهت بهره برداری در دسترس است.