سرویس‌دهنده ایمیل #‫مایکروسافت (Exchange Server) در نسخه های 2013 و 2016 خود در معرض خطر آسیب‌پذیری اجرای کد از راه دور (RCE) به شماره CVE-2018-8265 است. این آسیب‌پذیری به وسیله ارسال یک ایمیل مخرب به سرور فعال شده و می‌تواند از سرور هدف اخذ دسترسی با سطح کاربری سرویس‌دهنده سرور نماید. اگر بهره‌وری این آسیب‌پذیری به درستی انجام نگیرد، حمله RCE به DoS تبدیل شده و سرویس‌دهنده به احتمال فراوان کرش خواهد داد.
تاریخ کشف آسیب‌پذیری: 9 اکتبر ۲۰۱۸ ( ۱۷ مهرماه ۱۳۹۷)

نسخه‌های آسیب‌پذیر:

• Microsoft Exchange Server 2013 Cumulative Update 21
• Microsoft Exchange Server 2016 Cumulative Update 10

روش‌های جلوگیری از آلوده شدن به باگ‌های مرتبط با Exchange Server:

• جلوگیری از دسترسی سرویس‌دهنده ایمیل به اینترنت و شبکه های خارجی
• اجرای سرویس دهنده با کمترین سطح دسترسی
• پیاده سازی IDS و IPS بر روی سرویس‌دهنده ایمیل

اطلاعات بیشتر:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8265

رصد صورت گرفته از سوی مرکز ماهر طی روزهای نهم و دهم مهر ماه سال جاری ، نشان دهنده افزایش حملات بر روی پورت 37215 مربوط به روترهای شرکت #Huawei بوده است. گزارش پیوست بررسی حملات ثبت شده در روزهای مختلف مهر ماه را نشان می‌دهد.

محققان امنیت سایبری مرکز Tenable #‫آسیب_پذیری جدیدی از نوع RCE همراه با کد PoC آن بر روی روترهای #MikroTik کشف کرده اند. این آسیب پذیری بر روی یک آسیب پذیری قدیمی تر که از نوع Directory Traversal که در ماه آپریل امسال گزارش شده و Patch شده بوده کشف شده است. این آسیب پذیری که قبلا با شماره شناسایی CVE-2018-14847 معرفی شده است دارای درجه بندی Medium بوده، اما اکنون توسط تکنیک جدیدی که برای استفاده از این آسیب پذیری مورد استفاده قرار گرفته به سطح درجه بندی Critical ارتقا یافته است و دلیل آن امکان اجرای کدهای مخرب از راه دور بر روی روتر میکروتیک آسیب پذیر می باشد و نفوذگر می تواند دسترسی root shell روتر قربانی را در اختیار بگیرد.
این آسیب پذیری توانایی دور زدن Authentication ورود به سیستم عامل روتر را دارا می باشد که این عملیات توسط اعمال تغییر بر روی یک بایت از فایل مربوط به Session ID کاربران مجاز سیستم عامل روتر اتفاق می افتد. Exploit موفق نوشته شده برای این آسیب پذیری که با نام By the Way توسط Jacob Baines از تیم تحقیقاتی مرکز Tenable منتشر شده است در ابتدا توسط آسیب پذیری Directory Traversal اعتبارنامه مربوط به ورود کاربر Root را از فایل Database موجود بر روی روتر به سرقت می برد و با جایگزین کردن آن توسط یک فایل جدید، دسترسی از راه دور خود را بر روی روتر قربانی فراهم می آورد.
به عبارت دیگر می توان گفت که توسط این آسیب پذیری بسیار خطرناک، نفوذگر پس از دسترسی به سیستم عامل روتر قربانی، توانایی اجرای Payload های مخرب و یا اعمال تغییر بر روی config روتر جهت دور زدن یا غیرفعال کردن Firewall آن را خواهد داشت. در کنار این آسیب پذیری، مرکز Tenable آسیب پذیری های دیگری از روترهای میکروتیک را هم منتشر کرده است که لیست آن را در ادامه مشاهده می فرمائید:
 

این آسیب پذیری ها، سیستم عامل RouterOS نسخه های قبل از 6.42.7و نسخه 6.40.9را تحت تاثیر خود قرار می دهد. بر اساس توضیحات منتشر شده توسط مرکز Tenable، حدود 70 درصد از روترهای فعلی میکروتیک، دارای این آسیب پذیری هستند. توصیه اکید به مدیران شبکه می شود که سیستم عامل روترهای میکروتیک خود را به روز رسانی کنند، دسترسی Telnetرا بر روی روترهای خود غیرفعال کنند و همچنین گذرواژه های مدیریتی را بر روی روترهای خود تعویض نمایند.

شرکت سیسکو از شناسایی دو آسیب‌پذیری حیاتی در محصولات نرم‌افزاری خود گزارش داده است. این دو آسیب‌پذیری مربوط به وب سرور محصول Prime Infrastructure سیسکو (PI) با مشخصه CVE-2018-15379 و محصول #Cisco_DNA_Center با مشخصه CVE-2018-15386 می‎باشد.
آسیب پذیری محصول Prime Infrastructure موجب اخذ مجوز دسترسی نامحدود به دایرکتوری‎ها شده و به مهاجم احراز هویت نشده اجازه بارگذاری ‏از راه دور فایل‎های دلخواه خود را می دهد. این آسیب‎پذیری از تنظیمات غلط مجوز دسترسی برای دایرکتوری‏های مهم سیستم ناشی می‎شود. مهاجم می‏تواند با بارگذاری یک فایل مخرب در TFTP این آسیب‏ پذیری را اکسپلویت نماید. اکسپلویت موفق این آسیب‌پذیری به مهاجم اجازه می‏دهد که بدون احراز هویت، دستوراتی را در برنامه کاربردی هدف اجرا کند.
آسیب‌پذیری محصول CISCO DNA Center ناشی از پیکربندی پیش‌فرض ناامن در سیستم آسیب‌دیده می‎باشد. هکر می‌تواند این آسیب‎پذیری را به وسیله ارتباط مستقیم با سرویس‌های در معرض خطر، اکسپلویت نماید. با سوءاستفاده موفق از این آسیب‌پذیری، مهاجم می‌تواند فایل‌های سیستمی حیاتی را بازیابی کرده و یا تغییر دهد.

محصولات آسیب‌پذیر
   • محصول Prime Infrastructure از نسخه 3.2 تا 3.4 در صورت فعال بودن سرور TFTP با تنظیمات پیش‌فرض
   • محصول CISCO DNA Center نسخه ۱.۱

راهکارهای امنیتی ارائه شده
   • بروزرسانی محصولات
   • در خصوص آسیب‌پذیری محصول Prime Infrastructure، می توان دسترسی به TFTP از طریق رابط وب را غیرفعال و پروتکل‎های امنی مانند SCP و یا SFTP را جایگزین نمود:

Administration > setting > system setting > server > TFTP

منبع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-pi-tftp
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-dna-unauth-…

Google Project Zero جزئیاتی در مورد یک #‫آسیب‌پذیری بسیار شدید use-after-freeدر هسته‌ی #‫لینوکس منتشر کرد که به‌عنوان "CVE-2018-17182" ردیابی شده است. این آسیب‌پذیری از نسخه‌ی 3.16 که در ماه آگوست سال 2014 معرفی شد، تا نسخه‌ی 4.18.8 هسته‌ی لینوکس وجود دارد.
این نقص می‌تواند توسط یک مهاجم مورد سوءاستفاده قرار گیرد و باعث ایجاد یک حمله‌ی DoSیا اجرای کد دلخواه با امتیازات ریشه در سیستم آسیب‌پذیر شود.
تيم توسعه‌دهنده‌ی هسته‌ی لينوکس، دو روز پس از دريافت گزارش اين نقص در تاريخ ۱۲ سپتامبر، آن‌را رفع کردند. پژوهشگران کد اثبات مفهومی (PoC) را برای اين آسيب‌پذيری ارایه دادند و اعلام کردند که برای استفاده از اين نقص نياز به زمان بالايی است و فرايندهايی که منجر به اين آسيب‌پذيری می‌شوند لازم است مدت زمانی طولانی اجرا شوند.
در حال حاضر این مشکل در نسخه‌های زیر رفع شده است:

• 4.18.9
• 4.14.71
• 4.9.128
• 4.4.157
• 3.16.58

این احتمال وجود دارد که فعالان تهدید در تلاش برای سوءاستفاده از این آسیب‌پذیری باشند. یکی دیگر از نگرانی‌ها این است که برخی توزیع‌های اصلی لینوکس، ازجمله Debianو Ubuntu، به‌علت منتشر نکردن به‌روزرسانی‌های موردنیاز، کاربران خود را در معرض حملات احتمالی قرار می‌دهند.
این سوءاستفاده، اهمیت پیکربندی یک هسته‌ی امن را نشان می‌دهد. تنظیمات خاصی مانند "kernel.dmesg_restrict sysctl" می‌تواند برای این منظور مفید باشند.

گسترش شبکه اجتماعی #‫اینستاگرام در بین مردم برخی مسائل جانبی را نیز به همراه داشته است. یکی از شبکه های اجتماعی محبوب در ایران اینستاگرام است. برنامه های زیادی با نام های «فالوئریاب»، «لایک بگیر»، «آنفالویاب» و عناوین دیگر برای ارائه خدمات جانبی به کاربران اینستاگرامی در کافه بازار منتشر شده است. در طول این تحقیق دویست برنامه با خدمات مرتبط با اینستاگرام از کافه بازار جمع‌آوری شده و مورد بررسی قرار گرفتند. از این میان حدود 90 برنامه برای ارائه خدمات نیاز به ورود به حساب اینستاگرام کاربر داشتند. در طول تحقیق نزدیک به 40 برنامه شناسایی شدند که نام کاربری و پسورد اینستاگرامی کاربران را به روشهای مختلف استخراج کرده و به سرور توسعه دهندگان ارسال میکردند.

همچنین بسیاری از برنامه های دیگر نیز باوجود اینکه به کاربر اطمینان میدادند که به رمز عبور آن‌ها دسترسی ندارند ولی با استفاده از روشهای برنامه های سارق، رمز عبور کاربران را استخراج میکردند. برای این دسته از برنامه ها شواهدی از ارسال رمز عبور به سرور خود برنامه ها مشاهده نشد و به همین دلیل این برنامه ها در لیست برنامه های سارق ذکر نشده اند ولی بررسی این برنامه ها در یک گزارش دیگر انجام شده است. متاسفانه از بین حدود صد برنامه بررسی شده تقریباً نیمی از آنها سارق بودند و اکثر برنامه های باقیمانده نیز حداقل رمز عبور اینستاگرام کاربر را استخراج میکردند (هرچند شواهدی مبنی بر سرقت کامل یافت نشد) و از این نظر این برنامه ها در کل خطر بالایی دارند و بهتر است که فروشگاه های اندرویدی پیش از انتشار چنین برنامه هایی (که نیاز به ورود به حساب کاربری اینستاگرام دارند) مواردی را که در این گزارش ذکر میشود را در مورد هر برنامه این چنینی بررسی کنند.

به کاربرانی که از این برنامه های استفاده کرده اند توصیه می گردد، ضمن حذف این برنامه ها نسبت به تغییر رمزعبور اینستاگرام خود اقدام نمایند.

تحلیل کامل

در روزهای گذشته دو برنامه کار با اسناد #PDF محبوب Acrobat Reader وFoxit PDF Reader بروزرسانیهای جدیدی منتشر کردند که در مجموع موجب رفع بیش از 200 آسیب پذیری در این دو برنامه شد. بسیاری از این آسیب پذیریها امکان انجام حمله از نوع اجرای کد از راه دور را برای مهاجمان فراهم می کنند و آنها با بهره برداری از این آسیب پذیریها میتوانند در سیستم قربانی دستورات خود را اجرا کنند یا بدافزار مورد نظر خود را نصب کنند.

دانلود اطلاعیه

بررسی ها نشان می دهد یک حمله سایبری جدید با هدف سو استفاده از منابع کامپیوتری برای تولید بیت کوین در حال انجام است. آسیب پذیری بسیار خطرناک دستگاه های #‫میکروتیک که در تاریخ چهارم اردیبهشت ماه 1397 در پورتال مرکز ماهر گزارش شده است، حفره اصلی جهت نفوذ مهاجم و رخ داد این حمله است. این حمله دستگاه های میکروتیکی که نسخه سیستم عامل آن ها آسیب پذیر است را مورد هدف قرار می‌دهد. سیستم یا شخص مهاجم با دسترسی به این دستگاه ها، سرویس پروکسی آن را به گونه ای تغییر می دهند که آدرس یک فایل جاوا اسکریپت را به تمامی صفحات وب غیر امن (غیر ssl ) تزریق نماید. این فایل جاوااسکریپت در مرورگر کاربرانی که از سرویس پروکسی میکروتیک استفاده می کنند بارگذاری و اجرا می شود. این فایل جاوااسکریپت یک ماینر بیت کوین بوده و از منابع کاربران جهت تولید بیت کوین استفاده می کند.
با توجه به گزارش های منتشر شده قبلی، دستگاه های میکروتیک با نسخه سیستم عامل 6.29 تا 6.42 آسیب پذیر هستند و در صورت فعال و دردسترس بودن سرویس #winbox امکان اجرای حمله و اخذ دسترسی از آن ها توسط مهاجم، وجود دارد. درصورتی که دستگاه خود را وصله و یا در زمان مناسب ایمن نکرده اید، توصیه می شود ابتدا نسخه سیستم دستگاه را بروز رسانی کرده و سپس تمامی پیکره بندی را از نو و بصورت غیرخودکار برروی آن انجام دهید. درصورتی که نسخه پشتیبان از پیکربندی دستگاه را قبل از شیوع آسیب پذیری تهیه کرده اید می توانید پس از بروز رسانی، نسخه پشتیبان را مجددا بازیابی و اجرا نمایید.
با توجه به بررسی ها و پویش انجام شده، بالغ بر 11000 دستگاه میکروتیک در کشور شناسایی شده اند که مورد نفوذ قرار گرفته و توسط این بات نت آلوده شده اند.

کمپانی #‫سیسکو در جدیدترین هشدارهای منتشره از بخش امنیتی خود اعلام نموده که 25 آسیب پذیری کشف شده در برخی محصولات آن دارای درجه اهمیت بالاتری هستند. بیشتر آسیب پذیری ها بر روی محصولات سخت افزار شبکه ای هستند که مشکلاتی همچون حملات DoS بر روی سیستم عامل های IOS و IOS XE را در این سخت افزارها موجب می شوند. دو مورد از این آسیب پذیری ها بر روی محصولات سوئیچ های سری Catalyst 6800 و محصولات Webex Meetings Client می باشد.
از دیگر آسیب پذیری های منتشر شده می توان به انتشار اطلاعات حافظه، تزریق دستورات سیستمی، دور زدن محدودیت های دسترسی، اجرای کدهای مخرب را نام برد. برخی دیگر از آسیب پذیری ها دارای درجه اهمیت بیشتری هستند، چراکه نفوذگر می تواند با دسترسی از راه دور، این آسیب پذیری ها را Exploit کرده و به Device آسیب پذیر نفوذ کند.
یکی از این آسیب پذیری ها که حمله به آن از راه دور انجام می گیرد، حمله ی DoS به بخش Web Interface سیستم عامل IOS XE می باشد که نفوذگر توسط ساخت و ارسال نوع خاصی از درخواست های HTTP می تواند باعث Reload شدن سیستم عامل آن سخت افزار شبکه ای گردد. در ادامه آسیب پذیری های منتشر شده همراه با کد شناسایی هر کدام از آنها را مشاهده می نمایید:
 

به منظور افزایش سطح امنیت و پیشگیری حداکثری از حوادث سایبری در صورت افزایش سطح تهدیدات و مرتبط با فضای تحریم های کشورهای متخاصم علیه جمهوری اسلامی ایران، #‫اقدامات_پیشگیرانه این مستند جهت بررسی و بکارگیری در سطح سازمان‌ها و دستگاه‌ها به پیوست ارائه می گردد.