یک #‫آسیب‌پذیری روز صفرم (CVE-2019-5786) در کروم کشف شده که شامل یک اشکال عدم مدیریت حافظه در بخشی از کروم با نام "FileReader" می باشد.

"FileReader" به توسعه‌دهندگان وب کمک می‌کند تا فهرست‌ها و محاوره‌های تازه را به نمایش بگذارند. مهاجم می‌تواند کنترل زیادی در مورد این اشکال خاص داشته باشد. این کار فقط به خواندن از فایل‌ها محدود نمی‌شود و می‌تواند منجر به اجرای کد از راه دور شود. بدین معنی که هرگونه نرم‌افزار مخربی می‌تواند بدون هیچ‌گونه هشدار یا پاپ‌آپ، بر روی سیستم قربانی نصب شود.
گوگل اعلام کرد که آسیب‌پذیری روز صفرمی که این شرکت در هفته‌ی گذشته وصله کرد، در واقع با یک آسیب‌پذیری روز صفرم دیگر که بر روی سیستم‌عامل مایکروسافت ویندوز 7 تأثیر می‌گذارد، مورد استفاده قرار می‌گیرد.
مهاجمان از این آسیب‌پذیری‌های روز صفرم کروم و ویندوز 7 برای اجرای کد مخرب و کنترل سیستم‌های آسیب‌پذیر استفاده می‌کنند.
این شرکت در روز پنج‌شنبه، هفتم مارس اعلام کرد که این حملات به‌شدت در وب مورد سوءاستفاده قرار گرفته‌اند و مایکروسافت در حال رفع این مشکل است.
آسیب‌پذیری روز صفرم موجود در ویندوز 7، یک آسیب‌پذیری افزایش دسترسی محلی در درایور هسته‌ی "win32k.sys" است که می‌تواند به عنوان یک فرار امنیتی از سندباکس مورد سوءاستفاده قرار گیرد.
این آسیب‌پذیری، یک ارجاع به اشاره‌گر NULL در "win32k!MNGetpItemFromIndex" است. زمانی که فراخوانی سیستمی "NtUserMNDragOver()" تحت شرایط خاصی فراخوانی می‌شود.
تا به امروز، فقط سوءاستفاده‌ی فعال از این اشکال تنها در سیستم‌های 32 بیتی ویندوز 7 مشاهده شده است.
این سوء‌استفاده به‌طور مستقیم کد کروم را هدف قرار داده است. مرکز ماهر از تمامی کاربران این مرورگر می‌خواهد بلافاصله آن‌را به آخرین نسخه (72.0.3626.121) به‌روز کنند.
کاربران باید پس از به‌روزرسانی، مرورگر خود را مجدداً راه‌اندازی کنند. برای اکثر کاربران، به‌روزرسانی به‌صورت خودکار انجام می‌شود، اما راه‌اندازی مجدد معمولاً یک اقدام دستی است.
تنها راه برای مقابله با نقص موجود در ویندوز 7 نیز، ارتقاء سیستم‌های خود به ویندوز 10 است. البته، به کاربران توصیه می‌شود وصله‌ها را به محض اینکه در دسترس قرار گرفتند، اعمال کنند.
گوگل هفته‌ی گذشته جزئیات یک آسیب‌پذیری روز صفرم در ویندوز را منتشر کرد که همراه با نقص " CVE-2019-5786" در کروم به‌طور جدی در حملات هدفمند مورد سوءاستفاده قرار گرفته است.
آسیب‌پذیری روز صفرم در ویندوز، یک مسئله‌ی تشدید امتیاز محلی در درایور هسته‌ی "win32k.sys" است و می‌تواند برای فرار از سندباکس امنیتی مورد سوءاستفاده قرار گیرد.
گوگل این موضوع را در مرورگر خود با راه‌اندازی یک نسخه‌ی پایدار (72.0.3626.121) برای سیستم‌عامل های ویندوز، مک و لینوکس رفع کرد.

#‫سیسکو در هفته‌ی اول ماه مارس سال 2019 بیش از دو دوجین آسیب‌پذیری جدی را در سوئیچ‌های Nexus برطرف ساخته است. این آسیب‌پذیری‌ها در صورتی که مورد سوءاستفاده قرار بگیرند می‌توانند منجر به حملات انکار سرویس (DoS)، اجرای کد دلخواه یا افزایش امتیاز شوند.
توصیه‌نامه‌های جداگانه‌ای برای هر یک از این نقص‌ها متشر شده است که بسیاری از آن‌ها، نرم‌افزار NX-OS که سوئیچ‌های Nexus را روشن می‌کند و برخی دستگاه‌های دیگر سیسکو را تحت‌تأثیر قرار می‌دهد.
شکاف‌های امنیتی که با شدت «بالا» رتبه‌بندی شده‌اند، اجزایی همچون عامل Tetration Analytics، ویژگی LDAP، ویژگی تأیید امضای تصویر (Image Signature Verification)، رابط کاربری مدیریت حساب کاربری، رابط خط فرمان (CLI)، پیاده‌سازی پوسته‌ی Bash، پیاده‌سازی پروتکل FCoE NPV، اجزای سیستم‌فایل، پشته‌ی شبکه، اجزای Fabric Services، ویژگی NX-API و پیاده‌سازی 802.1X را تحت‌تأثیر قرار می‌دهند.
بسیاری از این نقص‌ها به مهاجمان داخلی مجاز اجازه می‌دهند کد دلخواه را در سطح ریشه اجرا کنند، تصاویر نرم‌افزاری مخرب را نصب نمایند، امتیازات را افزایش دهند، دسترسی خواندن و نوشتن به یک فایل پیکربندی مهم را به دست آورند یا از یک پوسته‌ی محدود در دستگاه فرار کنند.
تعداد کمی از این آسیب‌پذیری‌ها که می‌توانند از راه دور بدون احرازهویت مورد سوءاستفاده قرار گیرند، به مهاجمان اجازه می‌دهند منجر به یک وضعیت DoS در دستگاه‌های متأثر شوند. یکی از این نقص‌ها می‌تواند به صورت راه دور برای اجرای دستورات دلخواه با امتیازات ریشه با ارسال بسته‌های HTTP/HTTPS مخرب به رابط مدیریت سیستم متأثر، مورد سوءاستفاده قرار گیرد؛ اما مهاجم باید احراز هویت شود.
اکثر این آسیب‌پذیری‌ها توسط خود سیسکو کشف شده‌اند و به گفته‌ی این شرکت، تاکنون سوءاستفاده‌ی مخربی از این آسیب‌پذیری‌ها مشاهده نشده است.
سیسکو یک توصیه‌نامه‌ی امنیتی نیز منتشر کرده است که در آن، صاحبان دستگاه Nexus را مجبور می‌کند شبکه‌هایی را که در آن ویژگی PowerOn Auto Provisioning (POAP) مورد استفاده قرار گرفته است را ایمن سازند یا این ویژگی را غیرفعال کنند. ویژگی POAP به طور پیش‌فرض فعال است و بدین منظور طراحی شده است تا به سازمان‌ها کمک کند راه‌اندازی و پیکربندی اولیه‌ی سوئیچ‌های Nexus را به طور خودکار انجام دهند.
POAP یک اسکریپت پیکربندی را از اولین کارگزار DHCP برای پاسخ‌دهی می‌پذیرد و مکانیزمی برای ایجاد اعتماد با کارگزار DHCP وجود ندارد. مهاجمی که بتواند یک پاسخ DHCP ارسال کند، می‌تواند یک پیکربندی مخرب را برای دستگاه ارایه دهد که به مهاجم اجازه می‌دهد دستورات را در سطح دسترسی مدیریتی اجرا کند.
از آنجاییکه پیاده‌سازی اولیه‌ی POAP دارای گزینه‌ای برای غیرفعال‌سازی این ویژگی نیست، حال سیسکو تعدادی دستور CLI برای غیرفعال کردن POAP اضافه کرده است. به منظور غیرفعال‌کردن موقت POAP؛ حتی زمانی که سیستم پیکربندی نشده باشد، مشتریان می‌توانند از دستور CLI “system no poap” استفاده کنند. این خط دستوری تضمین می‌کند POAP طی بوت بعدی شروع به کار نمی‌کند؛ حتی اگر هیچ پیکربندی وجود نداشته باشد.
لیست کامل وصله‌هایی که سیسکو در هفته‌ی اول ماه مارس سال جاری منتشر ساخته است در وب‌‌سایت آن در دسترس است.

یک #‫آسیب‌پذیری بحرانی در مسیریاب‌های ویژه دفاتر کوچک #‫سیسکو (RV110W, RV130W,RV215W) و یک آسیب‌پذیری با درجه اهمیت بالا در محصولات ویدئوکنفرانس سیسکو وجود دارد که منجر به اجرای کد دلخواه می‌شوند. برای این محصولات به‌روزرسانی امنیتی منتشر شده است.

آسیب‌پذیری در مسیریاب‌های ویژه دفاتر کوچک
یک آسیب‌پذیری بحرانی در رابط تحت وب مسیریاب‌های سیسکو ویژه دفاتر کوچک وجود دارد که امکان اجرای کد دلخواه را توسط مهاجمِ راه دور، بدون نیاز به احراز هویت فراهم می‌کند. این آسیب‌پذیری، ناشی از اعتبارسنجی نامناسب داده‌های ورودی است. مهاجم می‌تواند با ارسال درخواست HTTP مخرب از این نقص سوء استفاده کند. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد دلخواه با دسترسی بالا روی سیستم‌عامل تجهیز شود.

شناسه آسیب‌پذیری: CVE-2019-1663
درجه اهمیت: بحرانی CVSS3 Base Score 9.8

تجهیزات آسیب‌پذیر عبارت اند از:

• RV110W Wireless-N VPN Firewall
• RV130W Wireless-N Multifunction VPN Router
• RV215W Wireless-N VPN Router

رابط تحت وب این تجهیزات از طریق شبکه محلی (LAN) و یا از طریق ویژگی مدیریت راه دور (remote management) قابل دسترسی است. البته ویژگی مدیریت راه دور به طور پیش‌فرض غیرفعال است.

راه حل
در نسخه‌های نرم‌افزاری زیر، این نقص برطرف شده است. همه نسخه‌های ماقبل، آسیب‌پذیر هستند:

• RV110W Wireless-N VPN Firewall: 1.2.2.1
• RV130W Wireless-N Multifunction VPN Router: 1.0.3.45
• RV215W Wireless-N VPN Router: 1.3.1.1

آسیب‌پذیری در محصولات ویدئوکنفرانس
آسیب‌پذیری با درجه اهمیت بالا در نرم‌افزار دسکتاپ Cisco Webex Meetings و Cisco Webex Productivity Tools نسخه ویندوز وجود دارد. این آسیب‌پذیری به مهاجم محلیِ احراز هویت نشده اجازه می‌دهد دستورات دلخواه را با دسترسی بالا (در چارچوب کاربر SYSTEM) اجرا کند.
هرچند برای بهره‌برداری از این نقص، مهاجم به دسترسی محلی نیاز دارد، اما در محیط‌های دارای Active Directory، می‌توان با استفاده از ابزارهای مدیریتی راهِ دور، از این نقص بهره‌برداری کرد.

شناسه: CVE-2019-1674
درجه اهمیت: بالا CVSS3 Base Score 7.8

راه حل
نرم‌افزارهای نامبرده را به نسخه به‌روز شده (مطابق جدول زیر) ارتقاء دهید.
 

منبع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-wmda-cmdinj

#‫آسیب‌پذیری جدید حیاتی با شماره CVE-2019-0630 بر روی نسخه ۲ سرویس‌دهنده #SMB مایکروسافت کشف شده است. این آسیب‌پذیری حیاتی امکان اجرای کد از راه دور و افزایش سطح دسترسی را به حمله کننده می‌دهد. این ضعف توسط مایکروسافت و در وب‌سایت رسمی این شرکت تایید شده است اما طریقه عملکرد اکسپلویت و محدوده خطر آن مورد تردید است چرا که برخی منابع از امکان اجرای حمله بدون نیاز به احراز هویت خبر داده اما برخی دیگر به لزوم احراز هویت به منظور بهره‌گیری اشاره می‌کنند. کد بهره‌گیری از این آسیب‌پذیری در حال حاضر بصورت عمومی در دسترس نیست، اما انتشار کد بهره‌گیری در آینده نزدیک دور از انتظار نیست.

اطلاعات فنی آسیب‌پذیری:

CVSS v3.0 Base Score: 8.8 HIGH
CVSS v2.0 Base Score: 9.0 HIGH
Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (V3 legend)

سیستم‌ های عامل‌ تحت تاثیر:

• windows_7:-:sp1
• windows_8.1
• windows_rt_8.1
• windows_10
• windows_10:1607
• windows_10:1703
• windows_10:1709
• windows_10:1803
• windows_10:1809
• windows_server_2008:sp2
• windows_server_2008:-:sp2:itanium
• windows_server_2008:r2:sp1
• windows_server_2008:r2:sp1:itanium
• windows_server_2012
• windows_server_2012:r2
• windows_server_2016
• windows_server_2016:1709
• windows_server_2016:1803
• windows_server_2019

در روزهای گذشته، پویش درگاه 9527 و تلاش برای نفوذ به آن در سطح کشور به شدت افزایش پیدا کرده است. این درگاه، مربوط به یک قابلیت مستند نشده دیباگ برخی دوربین‌های مدار بسته تحت IP است. بیش از ۲ هزار دستگاه در جهان در حال پویش و رصد این دستگاه‌ها هستند. در صورت استفاده از دوربین‌های مداربسته تحت IP، از دسترسی حفاظت نشده‌ی تجهیز به اینترنت جلوگیری کنید. این درگاه کاربرد ضروری نداشته و فقط برای عیب‌یابی محصول در زمان تولید فعال شده است. در حال حاضر بیش از ۷۵۰۰ دستگاه در معرض این ضعف امنیتی در سطح کشور شناسایی شده است.
 

یک شرکت امنیتی به نام "EdgeSpot"، چندین سند PDF را شناسایی کرده است که از #‫آسیب‌پذیری روز صفرم در کروم، برای جمع‌آوری اطلاعات در مورد کاربرانی که فایل‌ها را از طریق مرورگر گوگل باز می‌کنند، بهره می‌گیرند.
به‌گفته‌ی این شرکت، اسناد PDF با اطلاعات موجود در دستگاه‌های کاربر (مانند آدرس IP، نسخه‌ی سیستم‌عامل، نسخه‌ی کروم و مسیر فایل PDF در رایانه‌ی کاربر) با یک دایرکتوری از راه دور تماس برقرار می‌کند. سپس داده‌ها را از طریق درخواست HTTP POST به یک سرور راه دور بدون نیاز به تعامل کاربر ارسال می‌کنند.
این شرکت اعلام کرد که دو مجموعه‌ی متمایز از فایل‌های PDF مخرب را با استفاده از این اشکال کروم شناسایی کرده است. یک سری از فایل‌ها در ماه اکتبر سال 2017 و دومین مجموعه در سپتامبر سال 2018 منتشر شدند.
نخستین دسته از فایل‌های PDF مخرب، اطلاعات کاربر را به دامنه‌ی "readnotify.com" و دومین دسته، آن‌ها را به "zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net" ارسال می‌کنند.
هیچ کد مخربی در فایل‌های PDF کشف‌شده وجود ندارد. با این حال، جمع‌آوری داده‌ها در مورد کاربرانی که فایل PDF را باز می‌کنند، می‌تواند به مهاجمان در تنظیم حملات آینده و سوءاستفاده از آن‌ها کمک کند.
اولین دسته از فایل‌هایی که EdgeSpot شناسایی کرده است، به‌رغم سوءاستفاده از اشکال کروم، مخرب نیستند. آن‌ها با استفاده از سرویس ردیابی PDF به نام ReadNotify مونتاژ شده‌اند. این سرویس به کاربران این امکان را می‌دهد که کسانی را که فایل‌های PDF آن‌ها را مشاهده می‌کنند، ردیابی کنند (خدمتی که از سال 2010 در دسترس است).
هیچ اطلاعاتی در مورد مجموعه‌ی دوم از فایل‌های PDF و ماهیت آن‌ها وجود ندارد.
EdgeSpot اعلام کرد که پس از کشف اسناد در سال گذشته، به گوگل اطلاع داده است. تیم کروم این آسیب‌پذیری را تأیید و قول داد تا اواخر ماه آوریل آن را اصلاح کند.
تا زمانی که گوگل وصله‌ای را برای این آسیب‌پذیری منتشر کند، توصیه می‌شود که کاربران از نرم‌افزار‌های نسخه‌ی دسکتاپ مانند Acrobat Reader برای مشاهده‌ی فایل‌های PDF استفاده کنند یا زمانی که اسناد PDF را در کروم باز می‌کنند، اتصال اینترنت خود را غیرفعال نمایند.

بررسی اخیر صورت گرفته، منجر به شناسایی 469 دستگاه رادیوی Ubiquiti مورد نفوذ قرار گرفته و همچنین شمار زیادی از این دستگاه ها با نسخه‌های firmware آسیب‌پذیر شده است. این دستگاه‌ها نیاز به ایمن‌سازی و بروزرسانی فوری دارند.

دستگاه های Ubiquiti معمولا تجهیزات شبکه و رادیویی هستند که در بسترهای مخابراتی و زیرساخت شبکه استفاده می‌شوند.

نفوذ به دستگاه ها توسط آسیب پذیری ها و ضعف های متعددی صورت گرفته است که در firmware بروز نشده‌ی این تجهیزات وجود دارد. از این رو توصیه می شود علاوه بر بروزرسانی نسخه firmware دستگاه، اقدام به تغییر و تنظیم گذرواژه پیچیده شود و از ایمن بودن پیکر بندی اطمینان حاصل شود. علاوه بر این اکیدا توصیه می‌گردد دسترسی مدیریتی این‌گونه تجهیزات بر روی اینترنت مسدود گردد. احتمال باقی ماندن آلودگی در دستگاه‌های هک شده حتی پس از بروزرسانی وجود دارد. لذا لازم است از پاکسازی کامل سیستم‌ اطمینان حاصل شود.

آخرین نسخه firmware دستگاه های این شرکت در لینک زیر قابل دریافت هستند:

https://www.ui.com/download/

بر اساس آخرین بررسی‌ها، هنوز بیش از ۹۴ درصد روترهای #‫میکروتیک آسیب‌پذیر به CVE-2019-3924 (اینجا) در کشور بروزرسانی نشده اند.
استان تهران با بیش از ۶۴٪، بیشترین تعداد روترهای میکروتیک آسیب‌پذیر را دارد. پس از تهران، استان‌های فارس و اصفهان با حدود ۶٪ و ۵٪ در رتبه‌‌های بعدی قرار دارند.
 

اکیدا توصیه می گردد دارندگان این روترها، ضمن بروزرسانی سیستم عامل RouterOS، دسترسی به پورت ۸۲۹۱ (winbox) را بصورت عمومی بر بستر اینترنت مسدود نمایند.

بنابر گزارش شرکت امن پرداز (آنتی ویروس پادویش)، در روزهای گذشته شبکه‌های شرکت‌ها و سازمان‌های سراسر کشور، شاهد حجم بسیار بالایی از حملات هک و نفوذ به واسطه سرویس ریموت دسکتاپ و یا ابزارهای ریموت کلاینتی (مانند #AnyDesk و ابزارهای مشابه) بوده‌اند. لذا توصیه همیشگی در مسدود سازی یا محدودسازی سرویس‌های مدیریتی دسترسی از راه دور از جمله #RDP مجددا تکرار می‌گردد. ضروری است که از سوی مسئولین شبکه های سازمانها و شرکتها جهت جلوگیری از بروز اینگونه حملات اقداماتی پیشگیرانه نظیر تهیه پشتیبان به‌روز از اطلاعات حیاتی، غیرفعال کردن فوری دسترسی‌های مدیریتی راه دور و ... صورت پذیرد.
لینک هشدار شرکت امن پرداز:

https://www.amnpardaz.com/contents.php/fa/1144

آسیب‌پذیری حیاتی جدید در روترهای #‫میکروتیک و مشخصات سیستم عامل RouterOS پیدا شده است که به حمله کننده این اجازه را می‌دهد که با ارسال بسته های شبکه، یک ضعف افزایش سطح دسترسی را مورد حمله قرار دهد (CWE-269). با استفاده از این آسیب‌پذیری مهاجم می‌تواند به نوعی فایروال را دور بزند. شماره این آسیب‌پذیری CVE-2019-3924 بوده و حمله از طریق شبکه و به‌صورت راه دور قابل اجراست. با توجه به اینکه این حمله به سطح دسترسی خاصی نیاز نداشته و فقط با چند بسته تحت شبکه قابل بهره‌گیری است، ضروری است جهت رفع آسیب پذیری مورد نظر سیستم‌عامل روتر خود را به 6.42.12 (در نسخه long-term) یا 6.43.12 (در نسخه stable) ارتقا دهید.
توضیحات تکمیلی این آسیب‌پذیری به زودی پیوست می‌گردد.

جزییات فنی:

CVE-2019-3924
CWE-269
cpe:/a:mikrotik:routeros
CVSSvs Score: 7.3
Attack Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X