شرکت TOTOLINK ارائه دهنده‌ی محصولات ارتباطی شبکه حرفه‌ای است که از جمله محصولات آن می‌توان به روتر بی سیم اشاره کرد.
اخیراً یک آسیب‌پذیری با شناسه‌ی CVE-2024-25468 در روترهای TOTOLINK کشف شده است که ضمن اینکه یک آسیب‌پذیری تزریق فرمان (command injection) است، به مهاجم از راه دور امکان اجرای حمله‌ی انکار سرویس را نیز می‌‌دهد. تزریق فرمان از  طریق پارامتر host_time امکان‌پذیر می‌باشد.
 

تابع Validity_check داده‌های بسته کاربر را بررسی می‌کند، اما فقط برای یک رشته‌ی خاص معتبر است و می‌توان آن را با یک رشته نامشخص دور زد. به عنوان مثال، تغییر مسیرها (>، <) می‌توانند فایل‌های حیاتی را درون فایل‌سیستم خراب کنند، که می‌تواند منجر به انکار سرویس شود. آسیب‌پذیری انکار سرویس می‌تواند از طریق تابع "NTPSyncWithHost" برای تنظیم زمان سفت‌افزار(firmware) فعال شود. یک ورودی نمونه به شرح زیر است:

 {"host_time":"2024' > test'", "topicurl":"NTPSyncWithHost"}

این توابع و بسیاری دیگر تعریف شده و در تابع اصلی باینری cstecgi.cgi فراخوانده می‌شوند.

محصولات آسیب‌پذیر
محصولات TOTOLINK X5000R V.9.1.0u.6369_B20230113 نسبت به این نقص، آسیب‌پذیر هستند.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-25468
[2] https://github.com/thKim0/totolink

به‌تازگی یک آسیب‌پذیری با شدت بحرانی 9.8 در افزونه  MasterStudy LMS  وردپرس، با شماره شناسه CVE-2024-1512 کشف شده است که می‌تواند منجر به حمله SQL Injection ‌شود. مهاجم با استفاده از پارامتر user در مسیر /lms/stm-lms/order/items/ می‌تواند دستورات SQL خود را مبتنی بر روش union بر روی سرور از راه دور اجرا کرده و اطلاعات حساس را از پایگاه داده استخراج کند.

محصولات تحت‌تأثیر
نسخه 3.2.5 افزونه  MasterStudy LMS و تمامی نسخه‌های قبل آن در معرض آسیب‌پذیری مذکور قرار دارند.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-1512

آسیب‌پذیری‌های متعددی با شناسه‌های CVE-2023-50951 ، CVE-2024-22336، CVE-2024-22337 وCVE-2024-22335 و میانگین شدت متوسط (5.1) در IBM QRadar Suite وIBM Cloud Pak for  Security کشف شده است.طبق بررسی‌های انجام شده اطلاعات مهم و حساسی در log files ذخیره می‌شود که در صورت بهره‌برداری از آسیب‌پذیری‌های مذکور توسط مهاجم، اطلاعات در معرض خطر قرار می‌گیرند که به این آسیب‌پذیری information disclosure گفته می‌شود.

بر اساس بردار حمله این آسیب‌پذیری‌ها(CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)  
بهره‌برداری از طریق شبکه محلی و از راه نزدیک امکان‌پذیر است  (AV:L)، نیازمند پیش‌زمینه‌ بوده و به‌راحتی قابل تکرار نیست و به شرایط خاصی نیازاست  (AC:H)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی بالا ندارد (PR: N)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت را با شدت بالا تحت تأثیر قرار می‌گیرد.

محصولات تحت‌تأثیر
•    IBM QRadar Suite نسخه  1.10.12.0 تا  1.10.17.0
•    IBM Cloud Pak for Security نسخه  1.10.0.0 تا  1.10.11.0

توصیه‌های امنیتی
به کاربران توصیه می‌شود به نسخه 1.10.18.0 به‌روزرسانی کنند.

منابع خبر:

[1] https://www.ibm.com/support/pages/node/7118604&nbsp;
[2] https://www.ibm.com/support/pages/node/7118642     

دو آسیب‌پذیری با شناسه‌های CVE-2022-41737 و CVE-2022-41738 و شدت بالا (به ترتیب 7.1 و 7.5) در IBM Storage Scale Container Native Storage Access کشف شده است. این نقص‌ها به مهاجم اجازه اتصال و دسترسی از راه دور به containerها و ایجاد تغییر در آن‌ها را ‌می‌دهد. 

• بر اساس بردار حمله آسیب‌پذیریCVE-2022-41737 (CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N)  

بهره‌برداری از طریق شبکه محلی امکان‌پذیر است  (AV: L)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و به شرایط خاصی نیاز نیست (AC: L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی بالا ندارد (PR: N)، به تعامل با کاربر نیز نیاز نیست (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C) و با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت را با شدت بالا تحت تأثیر قرار می‌گیرد.
 

• بر اساس بردار حمله آسیب‌پذیری CVE-2022-41738 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)

بهره‌برداری از طریق شبکه خارجی و از راه دور امکان‌پذیر است  (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و به شرایط خاصی نیازنیست (AC: L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی بالا ندارد (PR: N)، به تعامل با کاربر نیز نیاز نیست (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت را با شدت بالا تحت تأثیر قرار می‌ گیرد.

محصولات تحت‌تأثیر
این نقص‌ها نسخه 5.1.2.1  تا 5.1.7.0 را تحت‌تأثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود به نسخه 5.1.9.1 یا بالاتر به‌روزرسانی کنند.

منبع خبر:

https://www.ibm.com/support/pages/node/7095312

به اطلاع می‌رساند:

به علت به‌روزرسانی، برخی از سامانه‌های سازمان میراث فرهنگی، صنایع دستی و گردشگری دچار اختلال خواهند شد و قادر به خدمات‌رسانی نخواهند بود.

آسیب‌پذیری متعددی با شناسه‌های CVE-2024-20974، CVE-2024-20960 و  CVE-2024-20962و CVE-2024-20964 و CVE-2024-20966 و CVE-2024-20968 و CVE-2024-20970 و CVE-2024-20972 و CVE-2024-20976 و CVE-2024-20978 و CVE-2024-20982 و CVE-2024-20984 با میانگین شدت متوسط (4.9) در MySQL Server کشف شده است.
یک مهاجم با بهره‌برداری از این آسیب‌پذیری‌ها می‌تواند کنترل MySQL Server را در دست بگیرد و موجب از دسترس خارج شدن و freeze  در MySQL Server شود که به عنوان حمله انکار سرویس یا DOS نیز شناخته می‌شود.
بر اساس بردار حمله این آسیب‌پذیری(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)  بهره‌برداری از طریق شبکه خارجی و از راه دور امکان‌پذیر است  (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و به شرایط خاصی نیازنیست (AC: L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی بالا دارد (PR: H)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت را با شدت بالا تحت تأثیر قرار می‌گیرد.

محصولات تحت‌تأثیر
این آسیب‌پذیری نسخه‌ 8.0.35 و نسخه های قبل از آن، همچنین نسخه 8.2.0 و نسخه های قبلیMySQL Server را تحت‌تأثیر قرار می‌دهد.

توصیه‌های امنیتی
تاکنون هیچ راه‌حلی برای رفع کامل این آسیب‌پذیری‌ها منتشر نشده است.
 

منبع خبر:

https://www.oracle.com/security-alerts/cpujan2024.html#AppendixMSQL

یک آسیب‌پذیری امنیتی با شدت بالا در بایوس (BIOS) رایانه‌های شخصی HP Workstation (رایانه‌های شخصی HP که برای فعالیت‌های تخصصی و پرحجم طراحی شده‌اند) شناسایی شده ‌است. بایوس مخفف عبارت «Basic Input Output System» یا سیستم ورودی خروجی ساده بوده و نرم‌افزاری است که روی چیپ حافظه‌ی کوچکی در مادربرد ذخیره می‌شود. از کاربردهای این firmware (سفت افزار- نرم‌افزاری که قطعه‌ی سخت افزاری جداگانه برروی مادربرد دارد-) می‌توان به بررسی سخت‌افزارهای متصل به مادربرد برای تشخیص آسیب‌های احتمالی در ابتدای راه‌اندازی رایانه اشاره کرد.
این آسیب‌پذیری جدید که با شناسه CVE-2023-6138 و امتیاز CVSS 7.9 ردیابی شده ‌است، امکان افزایش سطح دسترسی، اجرای کد دلخواه، یا انکار سرویس را فراهم می‌کند.

نسخه‌های آسیب‌پذیر و توصیه‌های امنیتی
شرکت HP به روز رسانی‌هایی را برای کاهش آسیب‌پذیری‌های احتمالی منتشر کرده است. HP محصولات آسیب‌دیده و SoftPaq های مربوطه را با حداقل نسخه‌هایی که آسیب‌پذیری در آن‌ها برطرف شده‌است، شناسایی کرده ‌است. SoftPaq، مخفف Streamlined Software to Download HP PC Updates و به معنی « نرم‌افزار ساده برای دانلود به‌روز رسانی های کامپیوتر HP » است. HP SoftPaq Download Manager مدیران شبکه را قادر می‌سازد تا به روز رسانی‌های بایوس را راحت‌تر و در زمان کمتری دانلود کنند.
 محصولات آسیب‌دیده و اولین‌نسخه‌ی رفع نقص شده را در لیست زیر مشاهده می‌کنید. ارتقا نسخه‌ی BIOS سیستم از طریق SoftPaqهای نام‌برده، برای کاهش تهدید این نقص امنیتی توصیه می‌شود.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-6138
[2] https://support.hp.com/us-en/document/ish_10167884-10167908-16/hpsbhf03915

نرم‌افزار grafana یک ابزار متن‌باز برای تحلیل و بررسی پایگاه‌داده و رصد سیستم است. این نرم‌افزار می‌تواند متریک‌ها را خوانده و آنها را در قالب نمودارهایی کارآمد نمایش دهد. به صورت کلی این نرم‌افزار، مرکزی برای جمع‌آوری داده‌ها است. می‌توان سامانه‌ها، تجهیزات و سیستم‌ها را توسط سایر ابزارها جمع آوری کرده و در یک پنل درکنار یکدیگر قرار داد.
این نرم‌افزار از معیارهای ویرایشگر نمودار برای Graphite، Elasticsearch، OpenTSDB، Prometheus و InfluxDB برخوردار می‌باشد. به عنوان مثال، هنگامی که از InfluxDB به عنوان منبع داده خود استفاده می‌کنید، داده‌های ذخیره شده در InfluxDB با استفاده از Grafana Graphs تجسم می‌شوند.
دو آسیب‌پذیری با شدت‌های متوسط و بالا در دو افزونه‌ی نرم‌افزار Grafana کشف شده‌اند. شناسه و شرح هریک از این آسیب‌پذیری‌ها به شرح ذیل است:
1.    CVE-2023-5122: آسیب‌پذیری جعل درخواست از سمت سرور است که به افزونه‌ی CSV datasource مربوط می‌شود و شدت متوسط و امتیاز CVSS 5.0 را به خود اختصاص می‌دهد. این افزونه امکان بازیابی و پردازش داده‌های CSV از راه دور که توسط یک ادمین پیکربندی شده ‌است را فراهم می‌کند.
«CSV» مخفف عبارت «Comma Separated Values» و به معنای «مقادیر جدا شده با ویرگول» است. اینگونه فایل‌ها در واقع نوعی فایل خام متنی هستند که شامل لیستی از داده‌ها می‌شوند. به صورت رایج فایل‌های یاد شده برای جابه‌جایی داده‌ها بین نرم‌افزارهای متفاوت مورد استفاده قرار می‌گیرند.
اگر این افزونه به نحوی پیکربندی شده‌ باشد که درخواست‌هایی بدون مسیر را برای یک میزبان ساده ارسال کند، مانند (https://www.example.com/ https://www.example.com/` )، درخواست‌های ارسالی به یک  endpoint(نقطه پایانی) غیر از آن که توسط ادمین تعیین شده باشد، می‌توانند توسط هر کاربر با هر سطح دسترسی به یک درخواست جعلی دیگر تغییر یابند و این امر منجر به اجرای حمله‌ی SSRF می‌شود.
2.    CVE-2023-5123: این نقص امنیتی پیمایش مسیر که به افزونه JSON datasource بازمی‌گردد، دارای شدت بالا و امتیاز CVSS 8.0 می‌باشد که امکان بازیابی و پردازش داده‌های JSON از یک سیستم از راه دور (از جمله یک مسیر فرعی خاص) را که توسط یک ادمین پیکربندی شده است، فراهم می‌آورد.
در موارد نادری که این افزونه توسط یک ادمین پیکربندی شده باشد تا به خود نمونه Grafana اشاره کند،
به دلیل عدم بررسی و فیلتر مناسب پارامتر مسیر دریافت شده از درخواست داشبورد اصلی، امکان گنجاندن کاراکترهای پیمایش مسیر در پارامتر مسیر و ارسال درخواست به مسیرهای روی سیستم هدف که برای اشاره به مسیری خارج از مسیر اصلی پیکربندی شده باشد وجود دارد. این بدان معنی است که اگر منبع داده توسط ادمین پیکربندی شده باشد تا به مسیر فرعی دامنه اشاره کند، ممکن است یک ویرایشگر یک داشبورد جعلی اشاره‌کننده به یک منبع داده‌ی حاوی کاراکترهای پیمایش مسیر ایجاد کند که موجب می‌شود منبع داده، کوئری‌هایی ارسال کند که به زیرمسیرهای داخلی سیستم هدف برمی‌گردند و موفق به استخراج داده از سیستم هدف شود.
این آسیب‌پذیری به طور قابل توجهی شدیدتر می‌شود، زیرا ادمینی که در حال مرور یک پانل با پیکربندی مخرب است می‌تواند مجبور شود با اطلاعات کاربری خود به نقاط پایانی API مدیریت نرم‌افزار Grafana درخواست ارسال کند که همین امر، منجر به افزایش سطح دسترسی می‌شود، و به همین دلیل این آسیب‌پذیری شدت بالایی پیدا می‌کند.
 

توصیه‌های امنیتی
1.    CVE-2023-5122: ارتقاء افزونه‌ی CSV به آخرین نسخه: grafana-csv-datasource 0.6.13
2.    CVE-2023-5123: ارتقاء افزونه‌ی JSON datasource به آخرین نسخه:grafana-json-datasource 1.3.11

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-5122
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-5123
[3] https://vuldb.com/?id.253838
[4] https://vuldb.com/?id.253836

استفاده از احراز هویت چند عاملی (MFA) در کنار گذرواژه‌ها (passwords) به‌عنوان لایه‌ای ضروری برای محافظت در برابر اقدامات ناامن و خراب‌کارانه است. این در حالیست که MFA خود مخاطراتی به‌همراه دارد و قابل دور زدن است. با افشای اطلاعات گذرواژه توسط روش‌هایی، MFA برای مهاجمین قابل دور زدن است. این اهمیت استفاده از گذرواژه قوی به‌عنوان بخشی از لایه‌ی دفاعی را بیش‌تر مشخص می‌کند. در ادامه چهار روش مهندسی ‌اجتماعی جهت دور زدن MFA توسط مهاجمین شرح داده می‌شود. 

1-    حملات دشمن میانی (Adversary-in-the-middle (AITM) attacks)
حملات AITM کاربران را با این تصور که در حال ورود به یک شبکه، برنامه یا وب‌سایت واقعی هستند، فریب می‌دهد و اطلاعات خود را در اختیار یک کلاهبردار قرار می‌دهند. این حملات به هکرها اجازه می‌دهد رمزهای‌عبور را رهگیری (intercept) کرده و اقدامات امنیتی، از جمله دستکاری درخواست‌های MFA را انجام دهند. ارسال یک ایمیل فیشینگ و فریب کاربر جهت کلیک بر روی پیوند موجود در ایمیل و هدایت او به یک وب‌سایت جعلی برای جمع‌آوری اطلاعات اعتبارنامه‌های ورود (login credentials)، مثالی برای این روش است. در حالت ایده‌آل MFA باید از این حملات جلوگیری کند. اما مهاجمین با استفاده از روش 2FA pass-on، بمحض وارد نمودن اطلاعات ورود توسط قربانی در سایت جعلی، این اطلاعات را به سرقت برده و در سایت اصلی وارد می‌کنند. قربانی با تایید درخواست مهاجم دسترسی کامل را به او می‌دهد. این یک روش رایج و مورد استفاده برای گروه‌هایی مانند Storm-1167 است که به ساختن صفحات احراز هویت جعلی مایکروسافت برای جمع‌آوری اعتبارنامه‌ها معروف شده است. همچنین با ایجاد یک صفحه فیشینگ دوم برای مرحله MFA که مانند فرآیند ورود مایکروسافت است، از قربانی می‌خواهد که کد MFA  خود را وارد کند و به مهاجمان دسترسی دهد. با دسترسی مهاجمین به یک حساب ایمیل معتبر، از آن به‌عنوان یک پلتفرم جهت انجام یک حمله فیشینگ چندمرحله‌ای استفاده می‌کنند.
2-    بمباران فوری(prompt bombing)MFA 
این روش از ویژگی ارسال تعداد زیادی اعلان (notification) در برنامه‌های احراز هویت استفاده می‌کند. پس از به خطر افتادن رمزعبور، مهاجمان تلاش می‌کنند تا وارد سیستم قربانی شوند. برای این منظور یک اعلان MFA به دستگاه قربانی ارسال می‌کنند تا کاربر یا آن را با یک درخواست واقعی اشتباه می‌گیرد و می‌پذیرد یا از درخواست‌های پی‌درپی اعلان‌ها ناامید می‌شود و یکی را پذیرفته تا دریافت اعلان‌ها متوقف شود. 
در یک تهدید امنیتی توسط گروه 0ktapus ، با دسترسی به اعتبارنامه ورود Uber از طریق پیامک فیشینگ، فرآیند احراز هویت را از طریق ماشینی که تحت کنترل خود داشتند ادامه دادند و بلافاصله درخواست یک کد احراز هویت چند عاملی (MFA) را ارسال کردند. سپس با جعل هویت یکی از اعضای تیم امنیتی Uber درSlack ، را متقاعد کردند که اعلانMFA  را در تلفن خود بپذیرد.
3-    حملات میز خدمت (Service desk)
مهاجمان با تظاهر به فراموش کردن رمزعبور، از طریق تماس‌های تلفنی، helpdesks را جهت دور زدن MFA فریب می‌دهند. اگر عوامل helpdesks رویه‌های راستی ‌آزمایی مناسبی نداشته باشند، ممکن است ناآگاهانه به مهاجمان امکان ورود به محیط سازمان خود را بدهند. MGM Resorts  یک نمونه حمله برای این روش می‌باشد که در آن، گروهScattered Spider  با فریب دادن service desk (میز خدمت) طی یک تماس تلفنی رمز عبور خود را بازنشانی کردند و اجازه ورود و راه‌اندازی یک حمله باج‌افزار را پیدا کردند. مهاجمان تلاش می‌کنند از طریق تنظیمات بازیابی و رویه‌های پشتیبان‌گیری، برای دور زدن MFA  و بهره‌برداری، service desk (میزهای خدمت) را فریب دهند. گروه0ktapus  اگر در حمله بمباران فوری MFA ناموفق باشند، service desk (میز خدمت) یک سازمان را مورد هدف قرار می‌دهند.
4-    SIM swapping
از آن جایی که MFA اغلب به تلفن‌های همراه به‌عنوان ابزاری برای احراز هویت متکی است، می‌توان با استفاده از روشی به نام SIM swap از این موضوع بهره‌برداری کرد. در این روش مهاجمان ارائه‌دهندگان خدمات (service providers) را فریب می‌دهند تا سرویس‌های هدف و مورد نظر خود را به یک سیم‌کارت تحت کنترل خود منتقل کنند. سپس آن‌ها می‌توانند سرویس تلفن‌همراه و شماره‌تلفن هدف را در اختیار بگیرند و با رهگیری درخواست‌هایMFA ، به حساب‌ کاربران به‌صورت غیرمجاز دسترسی پیدا کنند. در سال 2022، مایکروسافت گزارشی را منتشر کرد که در آن روش‌های به کار گرفته شده توسط گروه LAPSUS$  را شرح می‌دهد. در این گزارش چگونگی استفاده از روش‌های مهندسی اجتماعی  توسط گروهLAPSUS$  برای ورود به سازمان‌های هدف توضیح داده شده است. یکی از روش‌های مورد علاقه این گروه، هدف قرار دادن کاربران با حملات SIM-swapping، همراه با بمباران فوری MFA و بازنشانی مجدد اعتبارنامه یک هدف از طریق مهندسی اجتماعی میز خدمت (help desk) است. موارد بیان شده تنها روش‌های دور زدن MFA نیست. روش‌های مختلف دیگری مانند: به خطر انداختن endpointsها، استخراج توکن‌های تولید شده، بهره‌برداری از  SSOو یافتن نقص‌های فنی اصلاح نشده وجود دارند. بنابراین نباید با راه‌اندازی  MFAاز اهمیت امنیت گذرواژه‌ها غافل بود. به خطر افتادن حساب کاربر غالبا به‌علت استفاده از رمزهای عبور ضعیف یا ناامن می‌باشد. هنگامی که مهاجم یک رمز عبور معتبر را به‌دست می‌آورد، می‌تواند بر روی دور زدن مکانیسم MFA تمرکز کند. همچنین یک رمز عبور قوی نمی‌تواند از کاربران محافظت کند، اگر از طریق یک رخنه یا با استفاده مجدد از رمز عبور به خطر بیفتد. حتی استفاده از passwordless برای سازمان‌ها کاملاً یک گزینه عملی و امن نیست.

توصیه‌های امنیتی
 با استفاده از ابزاری مانند Specops Password Policy، می‌توان خط‌مشی‌های گذرواژه Active Directory  قوی را جهت حذف کردن رمزهای عبور ضعیف اعمال کرد و به‌طور مداوم رمزهای عبور در معرض خطر استفاده مجدد یا فروش (sold) پس از حمله فیشینگ را اسکن کرد. این امر تضمین می‌کند که MFA  به‌عنوان یک لایه امنیتی اضافی عمل می‌کند.

منبع خبر:

https://thehackernews.com/2024/02/4-ways-hackers-use-social-engineering.html

یک آسیب‌پذیری با شناسه CVE-2023-50957 و شدت بالا 8.0 در  IBMامکان انجام اقدامات غیر مجاز را برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری به‌دلیل آن ‌که اطلاعات محرمانه (اطلاعات پیکربندی) Kubernetes  در محیط داخلی IBM Storage Defender Connection Manager با استفاده از کدگذاری base64  به جای رمزنگاری مبهم (obfuscated) می‌شوند (اطلاعات در  Kubernetes بطور پیش‌فرض رمزنگاری نشده‌اند)، مهاجم با سطح دسترسی root می‌تواند این اطلاعات را بخواند و پس از به‌دست آوردن داده‌های رمزنگاری ‌شده از طریق کلید متن واضح (clear text) ذخیره‌سازی شده، اقدامات غیرمجاز را انجام دهد.

محصولات تحت تأثیر
این آسیب‌پذیری محصولIBM Storage Defender - Resiliency Service  نسخه 2.0 را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء IBM Storage Defender - Resiliency Service به نسخه 2.0.1 و نسخه‌های جدیدتر اقدام نمایند. 

منبع خبر:

https://www.ibm.com/support/pages/node/7115261