شرکت #‫سیسکو در روز چهارشنبه ۳ می ۲۰۱۸ به منظور رفع چندین آسیب‌پذیری در محصولات خود، وصله های امنیتی ارائه نمود. در چند نمونه از این آسیب‌پذیری‌ها، حمله کننده می‌تواند با اجرای کد به سخت‌افزار هدف دسترسی پیدا کند. مهمترین آسیب‌پذیری‌های مطرح شده عبارتند از:

• Cisco WebEx Advanced Recording Format Remote Code Execution Vulnerability cisco-sa-20180502-war
• Cisco Prime File Upload Servlet Path Traversal and Remote Code Execution Vulnerability cisco-sa-20180502-prime-upload
• Cisco Secure Access Control System Remote Code Execution Vulnerability cisco-sa-20180502-acs1
• Cisco IOS, IOS XE, and IOS XR Software Link Layer Discovery Protocol Buffer Overflow Vulnerabilities cisco-sa-20180328-lldp

در خصوص مورد آسیب‌پذیری آخر، دو آسیب پذیری پروتکل LLDP در Cisco IOS, IOS XE, و IOS XR به مهاجم اجازه اجرای حمله DOS یا اجرای کد از راه دور در دستگاه هدف را میدهند. برای اجرای این حمله وضعیت پروتکل LLDP باید به صورت فعال باشد. شرکت سیسکو اعلام کرده است که این پروتکل در نسخه های مختلف IOS وضعیت پیش فرض متفاوتی دارد. مهاجم میتواند در صورت اتصال مستقیم به یکی از interface های دستگاه برای سواستفاده از این آسیب پذیری یک بسته LLDP protocol data unit بازطراحی شده را ارسال کند.

شرایط سواستفاده از آسیب پذیری CVE-2018-0175 اندکی متفاوت است. در این آسیب پذیری مهاجم پس از اجرای حمله باید یک کاربر تایید شده(authenticated) را متقاعد به اجرای یک دستور show خاص بکند. در صورت موفقیت مهاجم میتواند حمله خود را تکمیل کرده و از دستگاه دسترسی بگیرد.

توجه: شرکت سیسکو ابزاری برای یافتن آسیب پذیری های گزارش شده برای هر نسخه از IOS ارائه کرده است. کافیست که مدیر شبکه نسخه IOS را در لینک زیر ثبت کند:

Cisco software checker

جزییات این آسیب‌پذیری ها در حال بررسی فنی است. اطلاعات بیشتر در وب سایت این شرکت به آدرس زیر در دسترس است:

https://tools.cisco.com/security/center/publicationListing.x

مشاهده و رصد فضای سایبری در روزهای اخیر از افزایش فعالیت #‫باج_افزار #SamSam خبر می‌دهد. هر چند شروع فعالیت این باج افزار در ماه های فوریه، مارس و آوریل ۲۰۱۶ گزارش گردیده است، اما فعالیت جدید این باج افزار در ماه های اخیر مجدداً از سر گرفته شده است.
بررسی ها نشان می دهد باج افزار SamSam بر خلاف سایر باج افزارها، اهداف خود را با دقت انتخاب می‌کند. مشاهدات حاکی از آن است که این باج افزار عموماً مراکز بهداشتی، مدارس و بیمارستان ها را مورد هدف قرار می دهد. این نکته را باید در نظر گرفت که SamSam از طریق آسیب پذیری های شناخته شده در سیستم عامل و یا حمله Brute force و شکستن کلمات عبور ضعیف در سرویس ریموت دسکتاپ (RDP)، اقدام به حمله می کند و دلیل موفقیت آن نیز همین نکته می باشد. نکته قابل توجه این که باج افزارها، پس از نفوذ موفقیت‌آمیز به سیستم قربانی، به سرعت از طریق درایو های به اشتراک گذاشته شده در شبکه که در سیستم‌ها نگاشت شده‌اند باعث رمزگذاری اطلاعات سایر سیستم‌های موجود در شبکه نیز می‌شوند. لذا به مدیران و راهبران شبکه توصیه اکید می‌گردد که پس از بروزرسانی سیستم‌عامل و نصب آخرین وصله های امنیتی، نسبت به امن سازی سرویس های موجود در شبکه خصوصاً RDP اقدام نموده و حتماً از پشتیبان گیری منظم داده ها اطمینان حاصل نمایند.

بررسی‌های فنی نشان می‌دهد که از نیمه دوم فروردین ماه، یک #‫بدافزار استخراج‌کننده #‫ارز_دیجیتال در سطح شبکه‌ اینترنت در کشور شیوع یافته است. این بدافزار مجهز به اکسپلویت‌های منتشر شده توسط یک گروه هکری مستقل است. سیستم‌های آلوده شده توسط این بدافزار به یک درب پشتی برای مهاجم تبدیل می‌شوند و مهاجم می‌تواند آن‌ها را با استفاده از بدافزارهای مختلف آلوده کرده و یا از آن‌ها در انواع حملات رایانه‌ای استفاده کند. همچنین بدافزار به صورت خودکار یک کاربر جدید به نام mm123$ در سیستم ایجاد می‌کند. هدف اصلی بدافزار استفاده از منابع سیستم‌های آلوده شده برای استخراج پول دیجیتال است. برای جلوگیری از آلوده شدن سازمان‌ها به این بدافزار، پیشنهاد می‌گردد راهبران شبکه اقدامات زیر را انجام دهند:
1. منع دسترسی رایانه‌های سازمان به دامنه‌های زیر:
   • Da.alibuf.com
   • Dnn.alibuf.com
   • X.alibuf.com
   • Liang.alibuf.com
   • Pools.alibuf.com
   • Dns.alibuf.com
   • Amd.alibuf.com
   • Ca.posthash.org
   • Stop.posthash.org
   • Ip.3322.net
   • Ip138.com
   • xt.freebuf.info
   • Miner.fee.xmrig.com
   • Emergency.fee.xmrig.com
   • Minergate.com
   • Nicehash.com
   • pool.minexmr.to
   • xmr.usa-138.com
   • pool.minexmr.com
   • bulletpool.ru
   • xmr-eu1.nanopool.org
   • xmr.kiss58.org
   • fee.xmrig.com
   • pool.minexmr.com
   • pool.minexmr.to
2. به روز رسانی سیستم عامل و نرم‌افزارهای ضد ویروس (خصوصاً وصله منتشر شده برای رفع آسیب‌پذیری‌های MS17-010)
3. بستن یا محدودسازی دسترسی به پورت‌های 445، 139 و 3389.
همچنین مقابله با آدرس‌های IP‌ میزبان این دامنه‌ها از طریق مراکز CERT کشورهای مربوطه درحال پیگیری می باشد.

طی 24 ساعت گذشته، رصد فضای مجازی نشان دهنده حملاتی مبتنی بر #‫آسیب‌پذیری‌ های موجود در سرویس #iLo سرورهای #HP بوده است. سرویس iLo یک درگاه مستقل فیزیکی می‌باشد که جهت مدیریت و نظارت سروهای شرکت HP از سوی مدیران شبکه استفاده می‌گردد. این سرویس حتی در صورت خاموش بودن سرورها به مهاجم قابلیت راه اندازی مجدد و دسترسی غیر مجاز را میدهد. حملات مذکور بر روی نسخه‌های مختلف مانند iLO 2 و iLO 3 و iLO 4 مشاهده شده است.

اقدامات کلی بعمل آمده:
با اعلام حمله #‫باج_افزار ی از سوی یکی از قربانیان از وقوع نوع جدیدی از حمله باج‌افزاری بر روی درگاه‌های iLO اطمینان حاصل گردید.
 

بررسی‌های بیشتر برای شناسایی قربانیان حمله انجام شده و با تعدادی از قربانیان در ایران و کشورهای دیگر برای بررسی بیشتر، تماس حاصل شده است.
رصد فضای آدرس IP کشور بر روی درگاه‌های iLO انجام گرفت و سرورهای آسیب‌پذیر شناسایی گردیدند. با شماری از صاحبان این سرویس‌ بر روی بستر اینترنت که در معرض تهدید می‌باشند تماس گرفته شده و هشدار لازم ارائه شد.
لازم به ذکر است بررسیها در این خصوص ادامه دارد و جزییات بیشتری در این خصوص منتشر خواهد شد.

توصیه‌های امنیتی:
دسترسی درگاه‌های iLo از طریق شبکه‌ی اینترنت بر روی سرورهای HP مسدود گردد. توصیه اکید میشود در صورت نیاز و استفاده از iLO، با استفاده از راهکارهای امن نظیر ارتباط VPN اتصال مدیران شبکه به این‌گونه سرویس‌دهنده‌ها برقرار گردد.
در صورت مشاهده هرگونه موردی نظیر پیام باج‌خواهی در iLo Security Login Banner ، تغییر در Boot Order، بهم ریختگی یا پاک شدن بی دلیل پیکربندی و اطلاعات یا هر مورد مرتبط و مشکوک دیگر با مرکز ماهر تماس حاصل نمایید.

شرکت #‫میکروتیک روز گذشته خبر از شناسایی آسیب پذیری جدیدی در همه نسخه‌های RouterOS از ورژن 6.29 تا 6.43rc3 داد.این آسیب پذیری مربوط به پورت نرم افزار (Winbox (8291 می باشد. در صورتی که این پورت از پیش بر روی شبکه اینترنت فعال بوده لازم است اقدامات زیر صورت پذیرد:

با اعمال قوانین مناسب فایروال و یا در قسمت IP> Services دسترسی به سرویس #winbox را محدود به آدرس‌های شناخته شده از شبکه خود نمایید.

روتر خود را به اخرین نسخه ارائه شده بروزرسانی کنید.

رمز عبور دستگاه خود را عوض کنید.

برای دریافت جزییات بیشتر کلیک نمایید.

بر اساس رصد صورت گرفته حملات #‫فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است. این حملات عموما با محوریت انتشار #‫برنامک_های_اندرویدی مخرب یا جعلی صورت می‌‌ پذیرد. لذا توصیه ‌های زیر جهت کاهش احتمال قربانی شدن در این حملات پیشنهاد می‌گردد:

پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک های منتشر شده در شبکه‌های اجتماعی و کانال‌ها
حساسیت بیشترنسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر. لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد
توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.
درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌ (بدون هرگونه تغییر در حروف) معتبر می‌باشند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر(cert [@] certcc.ir) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.
توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وبسایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وبسایت دقت کنید.
در جدول پیوست فهرستی از موارد فیشینگ رصد شده و مسدود شده توسط مرکز ماهر در فروردین ماه ارائه شده است. خوشبختانه هویت عاملین برخی از این حملات شناسایی شده و اقدامات جهت برخورد قانونی با آنها در جریان است.

دریافت پیوست

Adobe به‌روزرسانی امنیتی جدیدی را منتشر ساخته است که 19 آسیب‌پذیری‌‌‌ بحرانی در محصولاتی همچون Adobe_Flash Player، Adobe Experience Manager، Adobe InDesign CC، Digital Editions، ColdFusion و افزونه‌ی Adobe PhoneGap Push را برطرف می‌سازد.
Adobe Flash که معمولاً شامل آسیب‌پذیری‌های امنیتی این شرکت است وصله‌هایی دریافت کرده است که آسیب‌پذیری‌های بحرانی نسخه‌ی 29.0.0.113 Adobe Flash Player و پیش از آن را در سیستم‌‌های ویندوز، مکینتاش، لینوکس و سیستم‌عامل کروم برطرف می‌سازد. در کل سه آسیب‌پذیری این محصول بحرانی هستند. یک اشکال آزادسازی پس از استفاده (use-after-free) (CVE-2018-4932) و دو خطای نوشتن خارج از نوبت (CVE-2018-4935 و CVE-2018-4937). همه‌ی این آسیب‌پذیری‌ها درصورتی‌که مورد سوءاستفاده قرار گیرند می‌توانند منجر به اجرای ازراه‌دور کد شوند. علاوه‌براین، Adobe دو اشکال خواندن خارج از نوبت (CVE-2018-4933 و CVE-2018-4934) و همچنین یک اشکال سرریز پشته (CVE-2018-4936) را نیز وصله کرده است. این آسیب‌پذیری‌ها می‌توانند منجر به افشای اطلاعات شوند.
سه آسیب‌پذیری در Adobe Experience Manager نیز رفع شده‌اند. این به‌روزرسانی نسخه‌های 6.0 تا 6.3 را تحت‌تأثیر قرار می‌دهد و یک آسیب‌‌پذیری تزریق کد از طریق وبگاه ذخیره‌شده (stored Cross-Site scripting) (CVE-2018-4929) و دو آسیب‌پذیری تزریق کد از طریق وبگاه (CVE-2018-4930, CVE-2018-4931) را برطرف می‌سازد. تمامی این آسیب‌پذیری‌های می‌توانند منجر به نشت اطلاعات شوند.
Adobe Indesign نیز در این ماه به‌روزرسانی دریافت کرده است. یک آسیب‌پذیری بحرانی خرابی حافظه (CVE-2018-4928) که درنتیجه‌ی تجزیه‌ی نامناسب یک فایل ساختگی خاص .inx ایجاد شده است و آسیب‌‌پذیری مسیر جستجوی نامعتبر (CVE-2018-4927) در نصب InDesign در این به‌روزرسانی وصله شده‌اند. اگر نقص خرابی حافظه مورد سوءاستفاده قرار گیرد می‌تواند منجر به اجرای کد دلخواه و اگر آسیب‌پذیری مسیر جستجوی نامعتبر مورد سوءاستفاده قرار گیرد می‌تواند منجر به افزایش مجوز‌های محلی شود.
در Adobe Digital Edition نیز دو آسیب‌پذیری CVE-2018-4925 و CVE-2018-4926 وصله شده‌اند. دو اشکال خواندن خارج از نوبت و سرریز پشته که نسخه‌های 4.5.7 و پایین‌تر را تحت‌تأثیر قرار می‌دهند می‌توانند منجر به افشای اطلاعات شوند.
مجموعه‌ای از آسیب‌پذیری‌های مربوط به ColdFusion نیز برطرف شده‌اند. این اشکالات در نسخه‌ی 2016 ColdFusion به‌روزرسانی 5 و پیش‌ از آن، همچنین ColdFusion 11، به‌روزرسانی 13 و نسخه‌های قبل از آن وجود دارند. دو آسیب‌پذیری بحرانی CVE-2018-4939 و CVE-2018-4942 اشکالاتی هستند که اجازه‌ی بی‌نظمی در اطلاعات غیرقابل‌اعتماد و پردازش موجودیت خارجی XML ناامن را می‌‌دهد. اگر این اشکالات امنیتی مورد سوءاستفاده قرار گیرند می‌توانند منجر به اجرای ازراه‌دور کد و افشای اطلاعات شوند.
Adobe یک کتابخانه‌ی ناامن دارای آسیب‌پذیری (CVE-2018-4938)، آسیب‌پذیری اسکریپت‌نویسی از طریق وبگاه که می‌تواند منجر به تزریق کد شود (CVE-2018-4940) و اشکال تزریق کد از طریق وبگاه دیگری (CVE-2018-4941) که می‌تواند منجر به نشت اطلاعات شود را نیز وصله کرده است.
این به‌روزرسانی امنیتی یک آسیب‌پذیری پلاگین Adobe PhoneGap Push را نیز برطرف ساخته است. این وصله آسیب‌پذیری مهم Same- Origin Method Execution (SOME) که در نسخه‌ی 2.1.0 برنامه‌‌های PhoneGap پلاگین Push وجود دارد را حل می‌کند.
Adobe به کاربران توصیه می‌کند که محصولات این نرم‌افزار را در اسرع وقت به آخرین نسخه به‌روزرسانی کنند تا از سوءاستفاده‌های بالقوه‌ی این اشکالات در امان بمانند.

وصله‌ی #‫آسيب‌پذيری‌های_بحرانی #‫محصولات_Adobe

در روزهای گذشته اوراکل به‌روزرسانی وصله‌ی حیاتی (CPU) را منتشر کرد که در آن آسیب‌پذیری موجود در Oracle WebLogic Server(#CVE_2018_2628)، که امکان اجرای بدون مجوز کد از راه دور را فراهم می‌کرد، اصلاح شده است.
در این آسیب‌پذیری مهاجم غیرمجاز می‌تواند از طریق ارسال شیء جاوا، که به‌طور خاص ایجاد شده است، به پورت 7001 TCP در ترافیک پروتکل T3 (پروتکل اختصاصی Oracle)، از این آسیب‌پذیری سوءاستفاده کند.
مهاجم با سوءاستفاده از این نقص اجازه پیدا می‌کند که دستورات دلخواهخود را از راه دور اجرا و مجوزهای بیشتری به‌دست آورد و درنتیجه موفق به کنترل و به دست گرفتن Oracle WLS گردد.
این آسیب‌پذیری دارای امتیاز CVSS 9.8 از 10 است و نسخه‌های Weblogic server 10.3.6.0, 12.1.3.0, 12.2.1.2 و 12.2.1.3 را تحت تأثیر قرار می‌دهد.
احتمال دارد نسخه‌های قبلی نیز تحت تأثیر این آسیب‌پذیری‌ها قرار گیرند؛ درنتیجه اوراکل توصیه می‌کند مشتریان، نسخه‌های خود را به نسخه‌های اصلاح‌شده ارتقاء دهند. همچنین به مراکز عملیات امنیتی (SOC) توصیه می‌شود برای مشاهده افزایش ترافیک در پورت 7001 TCP، نظارت لازم را داشته باشند.

اصلاح #‫آسيب‌پذيری موجود در #WebLogic_Server توسط #‫اوراکل

#Cisco_USC_Director یکی از راه‌حل‌های شرکت سیسکو جهت مراکزداده مبتنی بر سرویس‌های ابری می‌باشد، که از بخش‌ها و قابلیت‌های مختلفی تشکیل شده‌است، این ابزار از طریق مدیریت متمرکز و یکپارچه شبکه و مرکز داده در لایه‌های مختلف پیاده‌سازی می‌شود، لذا به بخش‌های مختلفی در شبکه و مراکز داده متصل می‌گردد که از اهمیت و حساسیت بالایی برای استفاده کنند‌گان برخوردار می‌باشد.
آسیب‌پذیری بحرانی با کد #CVE_2018_0238 در خصوص این سیستم متنشر شده‌است که در ادامه بیان می‌گردد:
آسیب پذیری مربوط به Role-based resource checking functionality در بخش مدیر سیستم USM می‌باشد، که طبق اطلاعات منتشر شده مهاجمان از راه‌دور می‌توانند اطلاعات غیرمجاز هر ماشین‌مجازی در بخش پورتال کاربران USM را مشاهده و هر عملیاتی دلخواه را در ماشین‌های مجازی هدف انجام دهند.
آسیب‌پذیری فوق ناشی از عدم تایید هویت صحیح کاربران می‌باشد. جهت سوء استفاده از این آسیب‌پذیری مهاجمان می‌توانند با استفاده از نام‌کاربری تغییر یافته (متعلق به دیگر کاربران) و رمز عبور معتبر و در دسترس، وارد سیستم مدیریتی UCS شوند. لذا مهاجمان به تمامی پیکربندی‌ها و دیگر اطلاعات حساس دسترسی داشته و می‌تواند هرگونه اقدامی علیه ماشین‌های مجازی انجام دهند.

نسخه‌های آسیب‌پذیری:
این آسیب پذیری بر روی سیستم های UCS با نسخه 6.0 و 6.5 قبل از Patch 3 که دارای پیکربندی پیش فرض هستند، تاثیر می گذارد.
آسیب‌پذیری بیان شده از طریق رابط کاربری وب سیستم مورد سوء استفاده قرار می‌گیرد. (رابط کاربری Rest API آسیب‌پذیری و تحت تاثیر قرار نمی‌گیرد.)
لازم به ذکر است که هر دو نوع روش‌های احرازهویت به صورت محلی و از طریق سرویس‌دهنده‌های LDAP می‌توانند مورد سوء استفاده قرار گیرند.

راه حل:
این آسیب پذیری در نسخه Cisco UCS Director 6.5.0.3 وصله شده‌است، که مدیران شبکه نیاز به به‌روز رسانی سیستم‌های خود دارند. مسیر دریافت آخرین نسخه به‌روز رسانی شده، در سایت شرکت سازنده در مسیر زیر می‌باشد.

Products > Servers - Unified Computing > UCS Director > UCS Director 6.5 > UCS Director Virtual Appliance Software-6

دیگر اطلاعات در آدرس زیر توسط شرکت سازنده در دسترس می‌باشد:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-uscd

#‫آسیب_پذیری بحرانی شرکت #‫سیسکو

محصول #Cisco_WebEx یکی از راه‌حل‌های پرطرفدار در راه‌اندازی سرویس‌های کنفرانس تحت وب با تنوع سرویس‌ها و خدمات نظیر پشتیبانی از تمام ارتباطات صوتی، ویدیویی و به اشتراک گذاری اسناد و غیره می‌باشد.
آسیب‌پذیری بحرانی با کد #CVE_2018_0112 در خصوص این سیستم متنشر شده‌است که در ادامه بیان می‌گردد:
آسیب پذیری در بخش‌های سیستم‌ هدف از قبیل WebEx Business Suite clients، WebEx Meetings و WebEx Meetings Server could می تواند به مهاجم اجازه اجرای کدهای مخرب از راه دور بر روی سیستم هدف را بدهد در نتیجه کنترل سیستم را در اختیار بگیرد.
این آسیب پذیری ناشی از اعتبارسنجی نادرست داده های ورودی توسط WebEx Clients است. مهاجم می‌تواند از این آسیب پذیری از طریق قابلیت به اشتراک گذاری فایل‌، با یک فایل فلش (.swf) مخرب سوء استفاده کند. بهره برداری از این آسیب پذیری می تواند منجر به اجرای کد دلخواه مهاجم در سیستم هدف گردد.

نسخه‌های آسیب پذیر:
تمامی استفاده کنندگان از نسخه‌های نرم‌افزاری زیر آسیب‌پذیری می‌باشند.

• Cisco WebEx Business Suite (WBS31) client builds prior to T31.23.2
• Cisco WebEx Business Suite (WBS32) client builds prior to T32.10
• Cisco WebEx Meetings with client builds prior to T32.10
• Cisco WebEx Meetings Server builds prior to 2.8 MR2

راه حل:
به‌روز رسانی سرویس‌دهنده‌های مورد استفاده توسط مدیران شبکه به آخرین نسخه‌ی منتشر شده توسط شرکت سازنده
دیگر اطلاعات در آدرس زیر توسط شرکت سازنده در دسترس می‌باشد:

 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-wbs

راهنمای وصله #‫آسیب_پذیری بحرانی #‫سیسکو