SAP یک شرکت پیشرو در زمینه‌ی تولید نرم‌افزارهای سازمانی است. از محصولات SAP برای مدیریت فعالیت‌های تجاری استفاده می‌شود. محصولات این شرکت به کسب‌وکارها و سازمان‌ها کمک می‌کنند تا فرآیندهای مختلف خود از جمله فرآیندهای مالی، حسابداری، منابع انسانی، تولید، زنجیره تأمین، و خدمات مشتریان را به صورت یکپارچه و کارآمد مدیریت کنند.
SAP بسته امنیتی خود را منتشر کرده است که شامل وصله‌های امنیتی برای چندین آسیب‌پذیری است، از جمله دو آسیب‌پذیری بحرانی که در ادامه به توضیح جزئیات هر یک می‌پردازیم:

• آسیب‌پذیری با شناسه CVE-2024-41730، که با شدت بحرانی و امتیاز CVSS 9.8  ردیابی می‌شود، یک نقص بحرانی با امکان دور زدن احراز هویت است که به مهاجمان راه دور اجازه می‌دهد تا کاملا سیستم را تحت کنترل خود درآورند.

در توضیحات ارائه شده توسط شرکت SAP آمده است: "در پلتفرم SAP BusinessObjects Business Intelligence (یک مجموعه نرم‌افزاری که با ارائه‌ی ابزارهای متنوعی برای ایجاد گزارش‌ها، داشبوردها، و تجزیه و تحلیل داده‌ها به سازمان‌ها، کمک می‌کند داده‌های خود را تحلیل و تفسیر کنند)، اگر Single Sign-On  بر روی احراز هویت Enterprise فعال باشد، یک کاربر غیرمجاز می‌تواند با استفاده از یک نقطه پایانی REST (یک URL که به یک منبع خاص در سرویس وب RESTful اشاره دارد)، توکن log in را دریافت کند. مهاجم می‌تواند به‌طور کامل سیستم را در دست بگیرد و محرمانگی، یکپارچگی و دسترسی‌پذیری را شدیدا به خطر اندازد."

• آسیب‌پذیری دیگر با شناسه CVE-2024-29415 که با شدت بحرانی و امتیاز CVSS 9.1 شناسایی شده ‌است، یک نقص جعل درخواست در سمت سرور (SSRF) است.

این نقص به دلیل ضعف در پکیج 'IP' در Node.js ایجاد شده است که چک می‌کند آیا یک آدرس IP عمومی است یا خصوصی. زمانی که از نمایش IP در حالت هشت‌تایی استفاده می‌شود، این پکیج به اشتباه '127.0.0.1' را به عنوان یک آدرس عمومی و قابل مسیریابی جهانی شناسایی می‌کند در حالی که باید آن را به ‌عنوان یک آدرس محلی و خصوصی شناسایی کند.
بهره‌برداری موفقیت‌آمیز از این نقص، مهاجم را قادر می‌سازد تا درخواست‌های خاصی را به سرورهای داخلی- که نباید از بیرون به آن‌ها دسترسی داشت- ارسال کند. این امر ممکن است به مهاجم اجازه دهد تا به اطلاعات حساس دسترسی پیدا کرده یا حتی کنترل سرور را به دست گیرد.

از دیگر به‌روزرسانی‌های اعلام‌شده برای نواقص امنیتی SAP، چهار مورد  با شدت بالا (با امتیاز CVSS  بین 7.4 تا 8.2) طبقه‌بندی شده‌اند که به شرح زیر می‌باشند:

• CVE-2024-42374: در BEx Web Java Runtime Export Web Service ، یک آسیب‌پذیری وجود دارد که در آن، اسناد XML دریافت شده از منابع غیرمعتبر به درستی اعتبارسنجی نمی‌شوند. این ضعف به مهاجمان اجازه می‌دهد تا به اطلاعات مهم سیستم دسترسی پیدا کرده و حتی باعث شوند بخشی از سیستم که وظیفه ایجاد فایل‌های PDF را دارد، از کار بیفتد. این مشکل می‌تواند باعث افشای اطلاعات و مختل شدن عملکرد سیستم شود.
• CVE-2023-30533: نرم‌افزار SheetJS Community Edition دارای یک نقص امنیتی است که امکان آلودگی نمونه اولیه (Prototype Pollution) را از طریق یک فایل دستکاری‌شده فراهم می‌کند. آلودگی نمونه اولیه یک نوع آسیب‌پذیری امنیتی در برنامه‌نویسی است که به مهاجمان اجازه می‌دهد ویژگی‌ها یا متغیرهای دلخواهی را به نمونه‌های اولیه (Prototype) اشیاء در زبان‌های برنامه‌نویسی اضافه کنند. این آسیب‌پذیری به‌طور خاص در زبان‌های برنامه‌نویسی پویا مانند جاوا اسکریپت (JavaScript) رایج است. با این کار مهاجم ممکن است بتواند ویژگی‌های نمونه‌ی اولیه را به عنوان متغیرهای قابل دسترسی در کل برنامه معرفی کند که ممکن است به نشت اطلاعات، دور زدن کنترل‌های امنیتی، یا اجرای کد دلخواه منجر شود.
• CVE-2024-34688: در SAP NetWeaver AS Java، به دلیل دسترسی نامحدود به سرویس‌های Meta Model Repository، مهاجمان می‌توانند حملات انکار سرویس (DoS) را بر روی برنامه اجرا کنند. در این نوع حملات، مهاجم با ایجاد بار اضافی بر روی سیستم، موجب می‌شود که کاربران مجاز نتوانند به برنامه دسترسی داشته باشند و در نتیجه برنامه از دسترس خارج شود. این آسیب‌پذیری، تأثیری بر محرمانگی و یکپارچگی ندارد، اما تأثیر بسیار زیادی بر دسترسی‌پذیری سیستم دارد.
• CVE-2024-33003: در SAP Commerce Cloud، برخی از بخش‌های API وجود دارند که به اشتباه اجازه می‌دهند اطلاعات حساس کاربران، مانند رمزهای عبور، آدرس‌های ایمیل، شماره‌های تلفن همراه، و کدهای تخفیف به صورت مستقیم در آدرس اینترنتی (URL) درخواست قرار بگیرند. این امر به این معنی است که این اطلاعات در آدرس درخواست قابل مشاهده هستند که در صورت دسترسی مهاجمان به این URLها، می‌تواند به افشای اطلاعات حساس منجر شود. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند تأثیر قابل توجهی بر محرمانگی و یکپارچگی سیستم داشته باشد.
   

محصولات تحت تاثیر
برنامه‌ها و نسخه‌هایی که توسط هر آسیب‌پذیری تحت تاثیر قرار می‌گیرند عبارتند از:

• CVE-2024-41730: این آسیب‌پذیری نسخه‌های 430 و 440 پلتفرم SAP BusinessObjects Business Intelligence را تحت تأثیر قرار می‌دهد.
•  CVE-2024-29415: این آسیب‌پذیری برنامه‌های ساخته‌شده با SAP Build Apps در نسخه‌های قدیمی‌تر از 4.11.130 را تحت تأثیر قرار می‌دهد.
• CVE-2024-42374: این آسیب‌پذیری نسخه‌های BI-BASE-E 7.5، BI-BASE-B 7.5، BI-IBC 7.5، BI-BASE-S 7.5 و BIWEBAPP 7.5 از BEx Web Java Runtime Export Web Service  را تحت تأثیر قرار می‌دهد.
• CVE-2023-30533: این آسیب‌پذیری نرم‌افزار SheetJS Community Edition را در نسخه‌های ماقبل 0.19.3 تحت تأثیر قرار می‌دهد.
•  CVE-2024-34688: این آسیب‌پذیری نسخه MMR_SERVER 7.5 در کامپوننت Meta Model Repository را تحت تاثیر قرار می‌دهد.
• CVE-2024-33003: این آسیب‌پذیری نسخه‌های HY_COM 1808، 1811، 1905، 2005، 2105، 2011، 2205، 2211 و COM_CLOUD  از SAP Commerce Cloud را تحت تأثیر قرار می‌دهد.
   

توصیه‌های امنیتی
با توجه به اینکه SAP بزرگترین فروشنده ERP (سیستم برنامه‌ریزی منابع سازمان) در جهان است و محصولات آن در بیش از 90 درصد از شرکت‌های جهانی استفاده می‌شوند، مهاجمان همواره به دنبال بهره‌برداری از نقص‌های بحرانی احراز هویت هستند که می‌تواند به آن‌ها امکان دسترسی به شبکه‌های شرکتی بسیار ارزشمند را بدهد.
در فوریه 2022، سازمان امنیت سایبری و زیرساخت‌های آمریکا (CISA) از مدیران سیستم‌ها خواست تا آسیب‌پذیری‌های شدید در برنامه‌های کسب‌وکار SAP را به‌روزرسانی کنند تا از سرقت داده‌ها، باج‌افزارها و اختلالات در عملیات‌های حیاتی جلوگیری شود. مهاجمان در بازه زمانی بین 2020 تا 2021 از سیستم‌های SAP بدون به‌روزرسانی استفاده کرده و در حداقل 300 مورد به شبکه‌های شرکتی نفوذ کردند.
بنابراین، به‌روزرسانی مناسب و هرچه سریع‌تر به آخرین نسخه‌های منتشر شده از محصولات SAP اکیدا توصیه می‌گردد.

منبع خبر:

https://www.bleepingcomputer.com/news/security/critical-sap-flaw-allows-remote-attackers-to-bypass-…

مایکروسافت مشکل شناخته‌شده‌ای که باعث میشد برخی دستگاه‌های ویندوزی پس از نصب به‌روزرسانی‌های امنیتی ماه گذشته از حالت بازیابی BitLocker راه‌اندازی شوند را برطرف کرده است. به گفته‌ی این شرکت، پس از نصب به‌روزرسانی امنیتی ویندوز که در تاریخ 9 جولای 2024 منتشر شد، ممکن است هنگام راه‌اندازی دستگاه، صفحه بازیابی BitLocker مشاهده شود. کاربرانی که تحت تأثیر این نقص امنیتی قرار گرفته‌اند، با صفحه بازیابی BitLocker مواجه می‌شوند و باید کلید بازیابی BitLocker را وارد کنند تا بتوانند درایو را باز کرده و سیستم را به ‌طور عادی از حالت بازیابی راه‌اندازی کنند.
این اتفاق معمولاً پس از به‌روزرسانی ویندوز رخ نمی‌دهد. کاربرانی که گزینه Device Encryption را را در تنظیمات در قسمت Privacy & Security -> Device encryption فعال کرده‌اند، بیشتر ممکن است هنگام راه‌اندازی سیستم خود با صفحه بازیابی BitLocker مواجه شوند.
BitLocker یک ویژگی امنیتی ویندوز است که درایوهای حافظه را رمزگذاری می‌کند تا از سرقت یا افشای داده‌ها جلوگیری شود. کامپیوترهای ویندوزی معمولاً تنها پس از رویدادهایی مانند تغییرات سخت‌افزاری یا به‌روزرسانی‌های TPM (ماژول پلتفرم قابل اعتماد) وارد حالت بازیابی BitLocker می‌شوند تا به درایوهای محافظت‌شده دسترسی پیدا کنند.
TPM یک تراشه امنیتی است که در مادربوردهای کامپیوترها نصب می‌شود یا به صورت افزونه (ماژول) قابل نصب است. این تراشه برای اجرای عملیات رمزنگاری مانند ایجاد، ذخیره‌سازی و مدیریت کلیدهای رمزنگاری استفاده می‌شود و به افزایش امنیت سیستم‌ها کمک می‌کند.
کاربران می‌توانند با وارد شدن به پورتال صفحه بازیابی BitLocker با استفاده از حساب کاربری مایکروسافت خود، BitLocker را بازیابی کنند.
در آگوست 2022، دستگاه‌های ویندوزی تحت تأثیر مشکلات مشابهی قرار گرفتند و پس از به‌روزرسانی امنیتی KB5012170 برای Secure Boot DBX  با خطاهای 0x800f0922 مواجه شدند که باعث شد برخی دستگاه‌ها در صفحه بازیابی BitLocker راه‌اندازی شوند.

نسخه‌های آسیب‌پذیر
این مشکل، چندین پلتفرم ویندوزی، شامل سرور و کلاینت را تحت تأثیر قرار داده است:
•    کلاینت: Windows 11 version 23H2، Windows 11 version 22H2، Windows 11 version 21H2، Windows 10 version 22H2، Windows 10 version 21H2.
•    سرور: Windows Server 2022، Windows Server 2019، Windows Server 2016، Windows Server 2012، Windows Server 2012 R2، Windows Server 2008، Windows Server 2008 R2.
 

توصیه‌های امنیتی
مایکروسافت نصب آخرین به‌روزرسانی ویندوز را توصیه کرده‌ است زیرا شامل وصله‌های امنیتی و رفع نواقص مهمی، از جمله این نقص می‌باشد.

منبع خبر:

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-issue-that-sent-pcs-into-bitlocker-…

 یک آسیب‌پذیری با شناسه  CVE-2024-7301 و شدت 7.2 در افزونه WordPress File Upload کشف شده است.  این آسیب‌پذیری به دلیل عدم پاکسازی صحیح ورودی‌ها و عدم بررسی لازم در بارگذاری فایل‌های SVG، به مهاجمان اجازه می‌دهد تا اسکریپت‌های دلخواه را در صفحات وب تزریق کنند. این اسکریپت‌ها هنگامی که یک کاربر به فایل SVG دسترسی پیدا می‌کند، اجرا می‌شوند.
این آسیب‌پذیری از نوع Stored Cross-Site Scripting (XSS) است و می‌تواند بدون نیاز به تعامل کاربر و بدون نیاز به دسترسی‌های ویژه، از طریق شبکه، مورد بهره‌برداری قرار گیرد. این موضوع باعث می‌شود که حملات گسترده‌تری ممکن شود، زیرا مهاجم می‌تواند کدهای مخرب خود را در وب‌سایت تزریق کند و بر اساس آن اطلاعات حساس کاربران را به دست آورد یا کنترل بیشتری بر سایت داشته باشد.

 یک آسیب‌پذیری با شناسه CVE-2024-7145 و شدت 8.8 در افزونه JetElements وردپرس کشف شده است. این آسیب‌پذیری از نوع درج فایل محلی (Local File Inclusion) یا LFI است که به مهاجمان احراز هویت‌شده با سطح دسترسی Contributor یا بالاتر اجازه می‌دهد فایل‌های دلخواه را در سرور درج و اجرا کنند. این نقص می‌تواند به مهاجمان امکان اجرای کد PHP دلخواه را بدهد، که می‌تواند منجر به دور زدن کنترل‌های امنیتی، دسترسی به اطلاعات حساس، و حتی در برخی موارد، کنترل کامل وب‌سایت وردپرس شود.

محصولات تحت تأثیر
شناسه CVE-2024-7301: نسخه  4.28.4 و تمام نسخه‌‌های قبلی افزونه File Upload  تحت تاثیر این آسیب‌پذیری قرار می‌گیرند.

شناسه CVE-2024-7145: این آسیب‌پذیری نسخه‌های تا 2.6.20 از افزونه JetElements را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
شناسه CVE-2024-7301: به کاربران توصیه می‌شود افزونه را به نسخه 4.24.9 به‌روزرسانی کنند.

شناسه CVE-2024-7145: به کاربران توصیه می‌شود فوراً افزونه خود را به نسخه جدیدتر از 2.6.20 به‌روزرسانی کنند یا تا زمان انتشار یک وصله امنیتی، آن را غیرفعال کنند. همچنین، اعمال محدودیت‌های سختگیرانه بر دسترسی کاربران و استفاده از فایروال برنامه‌های وب (WAF) برای تشخیص و مسدودسازی تلاش‌های احتمالی برای بهره‌برداری از این آسیب‌پذیری توصیه می‌شود.

منابع‌خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-301
[2] https://github.com/advisories/GHSA-gw3m-cj7m-xhp2

[3] https://www.tenable.com/cve/CVE-2024-7145

اخیرا یک وصله امنیتی برای آسیب‌پذیری بحرانی با شناسه CVE-2024-28986 و شدت CVSS: 9.8 در نرم‌افزار Web Help Desk شرکت SolarWinds منتشر شده است. این آسیب‌پذیری امنیتی که به دلیل نقص در پردازش deserialization جاوا می‌باشد می‌تواند به مهاجمان اجازه دهد کنترل کامل سیستم را به دست گرفته و برنامه داده‌های مخرب را پردازش کرده و کدهای مخرب را اجرا کند. نرم‌افزار Web Help Desk به شرکت‌‌ها و سازمان‌ها، امکان مدیریت بهتر درخواست‌های کاربران و پاسخ‌دهی مناسب و به موقع از سمت تیم پشتیبانی ارائه می‌دهد. 

محصولات تحت تأثیر
 Web Help Desk: نسخه 12.8.3 و نسخه‌های قبل‌تر

توصیه‌های امنیتی 
در نسخه جدید یک وصله امنیتی فوری به عنوان hotfix با شماره 12.8.3 HF 1  منتشر شده است. مدیران فناوری اطلاعات و مدیران شبکه سازمان‌ها لازم است ابتدا نرم‌افزار مربوطه را به نسخه 12.8.3.1813  ارتقا دهند. پس از اعمال به‌روزرسانی SolarWinds،  به‌طور خودکار یک فایل JAR به سیستم اضافه خواهد شد، اما در ادامه لازم است کاربران یک تغییر دستی در پوشه تنظیمات (config) نرم‌افزار انجام دهند. دستورالعمل‌های دقیق جهت نصب این به‌روزرسانی و تغییرات لازم در راهنمای منتشر شده توسط شرکتSolarWinds  ارائه شده است.

منبع خبر:

https://thehackernews.com/2024/08/solarwinds-releases-patch-for-critical.html

محققان حوزه امنیت موبایل یک پکیج اندرویدی به نام Showcase.apk کشف کرده‌اند که دارای دسترسی‌های سیستمی بسیار زیاد است و امکان اجرای کد از راه دور و نصب پکیج را برای مهاجم فراهم می‌آورد. این برنامه بر روی درصد بزرگی از گوشی‌های Pixel که پس از سپتامبر 2017 به فروش رفته‌اند به طور پیش‌فرض نصب شده است. اپلیکیشن مذکور یک فایل پیکربندی را از طریق یک پروتکل غیر امن دانلود کرده که می‌تواند جهت اجرای کد مورد بهره‌برداری قرار گیرد.
 

نمونه درخواستی که در صورت فعال بودن این برنامه، ارسال می‌شود.

این اپلیکیشن فایل پیکربندی را از یک سرور AWS از طریق پروتکل HTTP دانلود می‌کند و می‌تواند دستگاه را آسیب‌پذیر کند. وجود این برنامه میلیون‌ها دستگاه اندرویدی را در معرض حمله MITM قرار می‌دهد و مهاجمان می‌توانند کدهای مخرب خود را جهت نصب جاسوس‌افزار به آن تزریق نمایند. حذف این برنامه توسط کاربر عادی ممکن نیست و هنوز شرکت گوگل وصله‌ای برای این نقص امنیتی منتشر نکرده است. خوشبختانه این برنامه به طور پیش‌فرض فعال نیست اما ممکن است از روش‌هایی برای فعال‌سازی آن استفاده شود که این روش‌ها برای حفظ امنیت کاربران هنوز عمومی نشده‌اند. این برنامه توسط شرکتی به نام Smith Micro ساخته شده است که دستگاه را در حالت demo قرار می‌دهد. در این حالت بسیاری از دسترسی‌های سطح بالا و غیر ضروری برای برنامه فعال می‌شوند. مهاجم با منابع کافی می‌تواند اقدام به نصب Backdoor در بسیاری از گوشی‌های پیکسل در سطح جهان نماید.

توصیه‌های امنیتی
گوگل در ارائه وصله امنیتی برای این نقص تاخیر داشته است. لذا فعلاً از طریق زیر می‌توانید نصب بودن یا نبودن این پکیج را بر روی دستگاه خود را بررسی نمایید: 
 
 

کدهای هش مربوط به برنامه

این برنامه فایل‌های زیادی را پس از اجرا بر روی حافظه ذخیره می‌کند:

پوشه‌های محل ذخیره فایل

همچنین فایل‌هایی که این برنامه ایجاد می‌کند و یا بر روی آن‌ها می‌نویسد در شکل زیر قابل مشاهده است:
 
 

محل‌های ذخیره فایل

منابع خبر:

[1]https://iverify.io/blog/iverify-discovers-android-vulnerability-impacting-millions-of-pixel-devices…
[2]https://www.wired.com/story/google-android-pixel-showcase-vulnerability/
[3]https://cybersecuritynews.com/android-vulnerability-pixel-devices-worldwide/
 

به‌تازگی یک آسیب‌پذیری بحرانی با شناسه CVE-2024-38063 و شدت 9.8 در سیستم‌عامل ویندوز کشف شده است. این آسیب‌پذیری از نوع integer underflow می‌باشد و این امکان را برای مهاجم احراز هویت نشده فراهم می‌آورد تا با ارسال مکرر بسته‌های IPv6 خاص به یک دستگاه ویندوز، کد دلخواه خود را از راه دور اجرا نماید.

محصولات تحت‌تأثیر
این آسیب‌پذیری تمامی نسخه‌های محصولات جدول زیر و نسخه‌های قبل‌تر آن‌ها را تحت تأثیر خود قرار می‌دهد.

توصیه‌های امنیتی
با اعمال به‌روزرسانی محصولات آسیب‌پذیر به نسخه‌های ارائه شده در جدول زیر، آسیب‌پذیری مذکور رفع خواهد شد.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-38063

یک آسیب‌پذیری امنیتی بحرانی در پیاده‌سازی‌ OpenSSH در سیستم‌های FreeBSD کشف شده است که به مهاجمان این امکان را می‌دهد تا بدون احراز هویت، از راه دور کد دلخواه خود را اجرا کنند. این آسیب‌پذیری با شناسه CVE-2024-7589 شناخته می‌شود و تمام نسخه‌های پشتیبانی‌شده FreeBSD را تحت تأثیر قرار می‌دهد.
آسیب‌پذیری مذکور خطر قابل توجهی ایجاد می‌کند زیرا امکان اجرای کد از راه دور بدون احراز هویت را فراهم کرده که می‌تواند به نفوذ کامل به سیستم منجر شود. مهاجمانی که از این نقص بهره‌برداری می‌کنند می‌توانند دسترسی ادمین (root) سیستم را به دست بگیرند، به اطلاعات محرمانه سیستم دسترسی پیدا کنند، سیستم را آلوده کند و اعمال بدخواهانه انجام دهد.
این نقص امنیتی از یک مدیریت‌کننده سیگنال در سرویس sshd ناشی می‌شود که ممکن است توابع لاگ‌گیری که برای سیگنال‌های ناهمزمان ایمن نیستند را فراخوانی کند. این مدیریت‌کننده سیگنال زمانی فعال می‌شود که یک کلاینت در مدت زمان پیش‌فرض 120 ثانیه‌ای LoginGraceTime نتواند احراز هویت کند.
این مشکل که با یکپارچه‌سازی سرویس blacklistd در FreeBSD مرتبط است، یک وضعیت رقابتی ایجاد می‌کند که مهاجمان با بهره‌برداری از آن می‌توانند کد دلخواه را از راه دور اجرا ‏کنند. نکته مهم این است که کد آسیب‌پذیر در بستر sshd و با دسترسی کامل ادمین (root) اجرا می‌شود و بنابراین مهاجم می‌تواند از آن برای اجرای کد از راه دور و بدون احراز هویت به عنوان کاربر ادمین (root) بهره‌برداری کند.

توصیه‌های امنیتی
FreeBSD برای رفع این آسیب‌پذیری در نسخه‌های زیر وصله‌هایی منتشر کرده است:
•    14.1-RELEASE-p3
•    14.0-RELEASE-p9
•    13.3-RELEASE-p5
به منظور مقابله با آسیب‏پذیری ذکر شده موارد زیر توصیه می‏شود:
•    به ادمین سیستم‌های FreeBSD به شدت توصیه می‌شود که سیستم‌های خود را فوراً به‌روزرسانی کنند.
•    در صورتی که امکان به‏روزرسانی فوری وجود ندارد، می‏توان به صورت موقت در فایل پیکربندی sshd مقدار LoginGraceTime را به 0 تنظیم کرد. توجه شود که با استفاده از این راهکار سیستم‌ همچنان در برابر حملات انکار سرویس آسیب‌پذیر باقی می‌‏ماند.
 

منابع خبر:

[1] https://cybersecuritynews.com/openssh-vulnerability-freebsd
[2] https://www.freebsd.org/security/advisories/FreeBSD-SA-24:08.openssh.asc

شرکت مایکروسافت به تازگی از یک آسیب‌پذیری روز صفر(Zero-Day) در نرم‌افزار Microsoft Office خبر داده ‌است که در صورت بهره‌برداری موفق، می‌تواند منجر به افشای غیرمجاز اطلاعات حساس شده و محرمانگی را به خطر اندازد. این آسیب‌پذیری با شناسه CVE-2024-38200 و شدت بالا و امتیاز CVSS 7.5 ردیابی شده‌ و یک نقص افشای اطلاعات (Information Disclosure) ناشی از پردازش نامناسب داده‌ها توسط نرم‌افزار می‌باشد. مشکل به دلیل یک ورودی ناشناخته ایجاد می‌شود که می‌تواند یک فایل یا داده‌ای باشد که نرم‌افزار Office به طور نادرست آن را پردازش می‌کند.
در سناریوی حمله‌ی مبتنی بر وب، مهاجم فایلی که برای بهره‌برداری از این آسیب‌پذیری طراحی شده است را بر روی یک وب‌سایت که خودش میزبان آن است یا وب‌سایتی با قابلیت پذیرش محتوای کاربران که مهاجم آن را تحت کنترل دارد، قرار می‌دهد. سپس باید برای اینکه کاربران از سایت بازدید کنند، اطمینان آنان را از طریق ارسال یک لینک در ایمیل یا پیام فوری، جلب کند تا روی لینک کلیک کرده و سپس فایل مخرب را باز کنند. زمانی که این فایل در نرم‌افزار Office باز می‌شود، آسیب‌پذیری فعال شده و امکان افشای اطلاعات حساس فراهم می‌شود.
به گفته‌ی محققان، بهره‌برداری از این آسیب‌پذیری بسیار آسان است و نیازی به احراز هویت ندارد و می‌تواند از راه دور انجام شود.

محصولات تحت تاثیر
نسخه‌های ۳۲ بیتی و ۶۴ بیتی نرم‌افزارهای Microsoft Office 2016، Microsoft Office 2019، Microsoft 365 Apps for Enterprise و Microsoft Office LTSC 2021 آسیب‌پذیر هستند.
 

توصیه‌های امنیتی
مایکروسافت اعلام کرده است که یک به‌روزرسانی رسمی برای رفع این آسیب‌پذیری در تاریخ ۱۳ آگوست منتشر خواهد شد. اما تا آن زمان، انتشار تدریجی به‌روزرسانی‌ها در مقیاس‌های کوچک (Feature Flighting) را فعال و تأکید کرده که در تمام نسخه‌های پشتیبانی‌شده از آفیس و Microsoft 365 این محافظت به کار گرفته‌ شده ‌است. با این حال توصیه می‌شود که برای امنیت بیشتر، کاربران به محض در دسترس بودن به‌روزرسانی نهایی، آن را نصب کنند.
این شرکت همچنین سه استراتژی کاهش خطر را پیشنهاد کرده است:

•  پیکربندی تنظیمات "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" برای مدیریت و کنترل ترافیک NTLM خروجی به سرورهای راه دور. ترافیک NTLM شامل داده‌هایی است که در فرآیند احراز هویت بین سیستم‌ها رد و بدل می‌شود.
•  افزودن کاربران به گروه امنیتی Protected Users که مانع از استفاده از NTLM به عنوان مکانیزم احراز هویت می‌شود. Protected Users یکی از ویژگی‌های امنیتی ویندوز است که برای محافظت بیشتر از حساب‌های کاربری حساس در برابر تهدیدات امنیتی طراحی شده است. این گروه امنیتی در نسخه‌های جدید ویندوز سرور و کلاینت (ویندوز 8.1 به بعد) معرفی شده است و شامل مجموعه‌ای از محدودیت‌ها و سیاست‌های امنیتی است که به‌طور پیش‌فرض برای اعضای این گروه اعمال می‌شود.
• مسدود کردن خروجی TCP 445/SMB از طریق فایروال پیرامونی، فایروال محلی و تنظیمات VPN به منظور جلوگیری از ارسال پیام‌های احراز هویت NTLM به منابع خارجی راه دور.
   

منابع خبر:

[1] https://thehackernews.com/2024/08/microsoft-warns-of-unpatched-office.html
[2] https://vuldb.com/?id.274028

مایکروسافت اعلام کرده است که در حال توسعه به‌روزرسانی‌های امنیتی برای رفع دو آسیب‌پذیری روز صفر(Zero-Day)  است که می‌تواند برای اجرای حملات کاهش سطح (Downgrade Attack) علیه به‌روزرسانی ویندوز مورد بهره‌برداری  قرار گیرد. این نقص‌ها می‌توانند نسخه‌های فعلی فایل‌های سیستم‌عامل را با نسخه‌های قدیمی‌تر جایگزین کنند و این حمله که "Windows Downdate" نام گرفته می‌تواند سیستم‌های ویندوز را از حالت به‌روز خارج کرده و آسیب‌پذیری‌های قدیمی را به آن‌ها بازگرداند.
جزئیات دو آسیب‌پذیری روز صفر ذکر شده به شرح زیر است:

• آسیب‌پذیری با شناسه‌ی CVE-2024-38202 که با شدت بالا و شدت CVSS 7.3 شناسایی شده است، یک نقص امنیتی افزایش سطح دسترسی در فرایند به‌روزرسانی ویندوز است. این آسیب‌پذیری مهاجمی با دسترسی‌های کاربری پایه را قادر می‌سازد تا آسیب‌پذیری‌هایی که قبلاً رفع شده‌اند را دوباره فعال کند یا برخی از ویژگی‌های امنیتی مبتنی بر مجازی‌سازی (VBS) را دور بزند.

VBS(Virtualization-Based Security) یک ویژگی امنیتی پیشرفته در ویندوز است که از فناوری مجازی‌سازی برای ایجاد محیط‌های امن و جداگانه در حافظه‌ی سیستم استفاده می‌کند. این محیط‌ها برای حفاظت از کدهای حیاتی سیستم و ذخیره اطلاعات حساس مانند اعتبارنامه‌های کاربران طراحی شده‌اند. این اعتبارنامه‌ها شامل توکن‌های امنیتی، رمزهای عبور و اطلاعات احراز هویت و مجوزهای مربوط به کاربر می‌باشند.
در شرایط عادی، ویندوز به‌روزرسانی‌های جدید را دریافت و نصب می‌کند تا از جدیدترین قابلیت‌های امنیتی و رفع نقص‌های موجود بهره‌مند شود. اما این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا روند به‌روزرسانی را به گونه‌ای دستکاری کنند که به جای نصب نسخه‌های جدیدتر و امن‌تر، اجزای اصلی سیستم‌عامل به نسخه‌های قدیمی‌تر و آسیب‌پذیر بازگردانده شوند. در نتیجه، سیستم به‌روز به نظر می‌رسد، اما در واقع با آسیب‌پذیری‌های قدیمی و رفع‌نشده روبروست و بدین ترتیب ابزارهای بازیابی و اسکن نیز قادر به شناسایی این نقص نخواهند بود.
با این حال، مایکروسافت خاطرنشان کرده است که مهاجم برای بهره‌برداری از این نقص ابتدا باید یک مدیر سیستم یا کاربری با دسترسی‌های ویژه را متقاعد کند تا یک بازیابی سیستم انجام دهد که به‌طور ناخواسته این آسیب‌پذیری را فعال می‌کند.

• آسیب‌پذیری با شناسه CVE-2024-21302 و شدت متوسط و شدت CVSS 6.7 که یک نقص افزایش سطح دسترسی در حالت هسته امن ویندوز (Windows Secure Kernel Mode) است. در سیستم‌های ویندوز که از VBS پشتیبانی می‌کنند، به مهاجم اجازه می‌دهد تا نسخه‌های فعلی فایل‌های سیستم ویندوز را با نسخه‌های قدیمی جایگزین کند. این نقص همچنین می‌تواند برای بازیابی مجدد نقص‌های امنیتی قبلاً وصله‌شده، دور زدن برخی ویژگی‌های VBS، و استخراج اطلاعات محافظت‌شده توسط VBS مورد استفاده قرار گیرد.

به گفته محققی که حمله‌ "Windows Downdate" را معرفی کرده است، این روش حمله می‌تواند یک سیستم ویندوز کاملاً به‌روز را در معرض هزاران آسیب‌پذیری قدیمی قرار دهد و عملاً مفهوم "کاملاً به‌روز" را برای هر سیستم ویندوزی در جهان بی‌معنی کند.
این شیوه می‌تواند فرآیند به‌روزرسانی ویندوز را به نحوی تحت کنترل درآورد که امکان کاهش سطح به‌روزرسانی‌ها به شکلی نامحسوس، پایدار و غیرقابل بازگشت در اجزای حساس سیستم‌عامل فراهم شود.

علاوه بر این، "Windows Downdate"  قادر است مراحل اجرای Trusted Installer را دور بزند، به طوری که امکان کاهش سطح به‌روزرسانی اجزای حساس سیستم‌عامل، از جمله کتابخانه‌های پیوند پویا (DLL)، درایورها، و هسته NT (New Technology Kernel)  را فراهم کند.
در Error! Reference source not found. دو پردازه که مسئول مدیریت و نصب بروزرسانی‌ها هستند مشاهده می‌شوند.Update Server Process  مسئول نهایی به‌روزرسانی فایل‌های حیاتی است که با فرمان‌پذیری از Trusted Installer به جریان می‌افتد. از طرفی Update Client Process  که تحت کنترل Administrator است، به طور مستقیم توان تغییر فایل‌های سیستم را ندارد و بیشتر به عنوان یک درخواست‌کننده عمل می‌کند. مهاجم با ارتقاء سطح دسترسی به Administrator می‌تواند فرایند Update Client Process  را کنترل کرده و از طریق راه ارتباطی COM (یک ارتباط بین پردازه‌ای) اجرای Trusted Installer را دور بزند و دستورات مخرب به‌روزرسانی فایل‌های سیستم را به Update Server Process ارسال کند. با بازگرداندن نسخه‌های آسیب‌پذیر قبلی این فایل‌ها، موفق می‌شود آسیب‌پذیری‌هایی که قبلاً برطرف شده‌اند را دوباره فعال کرده و امنیت سیستم را کاهش دهد.
در این حمله، سیستم‌عامل گزارش می‌دهد که سیستم کاملاً به‌روز است و همزمان از نصب به‌روزرسانی‌های جدید جلوگیری کرده و مانع شناسایی توسط ابزارهای بازیابی و اسکن می‌شود.
به گفته محققان، با توجه به این که ویژگی‌های VBS مایکروسافت در سال ۲۰۱۵ معرفی شد، امکان حمله‌ی "Windows Downdate"  تقریباً یک دهه است که وجود دارد.
 

محصولات تحت تاثیر
تمامی سیستم‌هایی که از ویندوز 10 و 11 استفاده می‌کنند، سرورهای ویندوزی ۲۰۱۶  و بالاتر و نسخه‌هایی از ماشین‌های مجازی Azure که از VBS پشتیبانی می‌کنند، در معرض خطر هستند.
 

توصیه‌های امنیتی
Microsoft توصیه‌های ذیل را برای کاهش خطرات مرتبط با این آسیب‌پذیری‌ها تا زمان انتشار به‌روزرسانی‌های امنیتی لازم ارائه داده است‌:

• نظارت بر تلاش‌های دسترسی به فایل‌ها و عملیات‌هایی مانند ایجاد Handle‌ها، خواندن/نوشتن، یا تغییرات در پردازه‌های امنیتی با پیکربندی تنظیمات “Audit Object Access”.
• نظارت بر استفاده از مجوزهای حساس با استفاده از ابزارهایی که برای شناسایی دسترسی‌ها و تغییرات در فایل‌های مرتبط با VBS و Backup طراحی شده‌اند.
• بررسی گزارشات خطر با استفاده از Microsoft Entra ID Protection و Azure Active Directory و فعال کردن “احراز هویت چند مرحله‌ای” برای کاربران و مدیرانی که در معرض خطر هستند.

با توجه به اینکه هنوز هیچ گونه تلاشی برای بهره‌برداری از این آسیب‌پذیری‌ها گزارش نشده است، Microsoft به کاربران خود توصیه می‌کند تا با رعایت نکات امنیتی فوق و همچنین دنبال کردن به‌روزرسانی‌های آینده، از سیستم‌های خود محافظت کنند.
 

منابع خبر:

[1] https://thehackernews.com/2024/08/windows-downgrade-attack-risks-exposing.html
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21302
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38202

به تازگی یک آسیب‌‌‌پذیری بحرانی با شناسه CVE-2024-7150 و شدت 8.8 در افزونه Slider پلتفرم 10Web ابزار WordPress کشف شده است. این آسیب‌‌‌پذیری از نوع تزریق SQL مبتنی بر زمان و به دلیل نقص ورودی‌‌‌های کاربر و عدم آمادگی کوئری SQL کنونی می‌‌‌باشد و این امکان را به مهاجمان احراز هویت نشده دارای دسترسی در سطح مشارکت‌کننده و بالاتر می‌‌‌دهد تا به کوئری‌‌‌های موجود، کوئری‌‌‌های  SQL اضافه کنند و بدین وسیله اطلاعات حساس پایگاه داده را استخراج کنند.

محصولات تحت‌تأثیر
این آسیب‌‌‌پذیری تمامی نسخه‌ها تا نسخه 1.2.57 را تحت‌تأثیر قرار می‌‌‌دهد.

توصیه‌های امنیتی
این آسیب‌‌‌پذیری با ارتقای افزونه به نسخه 1.2.58 و بالاتر رفع می‌‌‌شود.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-7150