بیش از 7100 سایت وردپرس که نسخه آسیب‌پذیر افزونه Popup Builder را نصب نموده‌اند در معرض خطر بدافزار Balada Injector قرار دارند. این حملات ناشی از نقص موجود در نسخه‌های قبل از 4.2.3 افزونه Popup Builder (با بیش از 200000 مرتبه نصب فعال) می‌باشد. این آسیب‌پذیری با شناسه CVE-2023-6000 و شدت بالا (8.8) تزریق جاوا اسکریپت Stored XSS را برای مهاجم احراز هویت‌نشده فراهم می‌سازد و وی می‌تواند هر اقدامی را که مدیر سایت (logged‑in administrator) اجازه انجام آن را دارد، انجام دهد. درج یک فایل جاوا اسکریپت مخرب که در specialcraftbox[.]com میزبانی می‌شود، می‌تواند منجر به کنترل وب‌سایت و بارگیری جاوااسکریپت اضافی به منظور تغییر مسیرهای مخرب شود. از خطرات موجود درBalada Injector ، بارگذاری backdoorهای نصب افزونه‌‌های مخرب، ایجاد کاربران با دسترسی Administrator جدید و کنترل دائمی بر روی وب‌سایت‌های در معرض خطر است.
اگر مرورگر administrators اسکریپتی را بارگیری کند که بتواند فعالیت مدیر را شبیه‌سازی کند، هر اقدامی را که مدیر از طریق رابط مدیریت وردپرس (WordPress admin interface) قادر به انجام آن باشد، مهاجم می‌تواند آن را انجام دهد. همچنین مهاجم می‌تواند سطح دسترسی خود را ارتقاء دهد و با نصب و فعال کردن یک افزونه‌ backdoor (wp-felody.php  یا  Wp Felody)، پی‌لود(payload)second-stage  را برای دامنه مذکور اجرا کند. پی‌لود، backdoor دیگری، به‌نام "sasas" می‌باشد که پس از ذخیره شدن در دایرکتوری که فایل‌های موقت در آن ذخیره می‌شوند، اجرا شده و سپس از دیسک حذف می‌شود. 
در نهایت مهاجم با بررسی سه سطح بالاتر از دایرکتوری فعلی، به‌دنبال دایرکتوری ریشه سایت فعلی و سایر سایت‌هایی موجود بر روی سرور است. سپس در دایرکتوری‌های ریشه سایت شناسایی شده، با تغییر فایل wp-blog-header.php ، بدافزار جاوا اسکریپت Balada را که در ابتدا از طریق آسیب‌پذیری Popup Builder  تزریق شده بود، تزریق می‌کند.

محصولات تحت تأثیر
این آسیب‌پذیری در نسخه‌های قبل از 4.2.3 افزونه Popup Builder وجود دارد.

توصیه‌های امنیتی
این نقص امنیتی در نسخه‌ 4.2.3 افزونه Popup Builder رفع شده است.

منابع خبر:

[1]https://thehackernews.com/2024/01/balada-injector-infects-over-7100.html 
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-6000
[3] https://wpscan.com/blog/stored-xss-fixed-in-popup-builder-4-2-3

AgentTesla یک بدافزار ویندوزی نوشته شده به زبان دات‌نت است که جهت سرقت اطلاعات حساس از سیستم‌های قربانیان طراحی شده است. این بدافزار به دلیل دسترسی آسان و هزینه نسبتاً پایین، به عنوان یک commodity malware شناخته می‌شود. این نوع بدافزار به مهاجمان با دانش فنی محدود این امکان را می‌دهد که انواع حملات سایبری مختلف را انجام دهند.  AgentTesla از طریق ایمیل‌های آلوده، فایل‌های دانلود شده از منابع ناامن یا وب‌سایت‌های مخرب منتشر می‌شود و پس از نصب در سیستم قربانی، به طور مخفیانه اجرا شده و شروع به جمع‌آوری اطلاعات می‌کند.
اطلاعاتی که AgentTesla می‌تواند جمع‌آوری کند عبارتند از:
•    نام کاربری و رمز عبور حساب‌های بانکی و مالی
•    شماره کارت‌های اعتباری و حساب‌های بانکی
•    اطلاعات شخصی مانند نام، آدرس، شماره تلفن و ایمیل
•    محتوای چت‌ها و پیام‌های خصوصی

محصولات تحت تأثیر
بدافزارAgentTesla  سیستم‌های ویندوز را هدف قرار می‌دهد. این بدافزار به ویژه برای سرقت اطلاعات از سیستم‌های شرکتی طراحی شده است، اما می‌تواند سیستم‌های شخصی را نیز مورد حمله قرار دهد.
 

توصیه‌های امنیتی
•    از نرم‌افزارهای امنیتی معتبر استفاده کنید.
•    ایمیل‌های ناشناس یا مشکوک را باز نکنید.
•    فایل‌ها را تنها از منابع معتبر دانلود کنید.
•    سیستم‌عامل و نرم‌افزارهای خود را به‌روز نگه دارید.

منبع خبر:

https://www.bitsight.com/blog/data-insights-agenttesla-and-originlogger-victims

گوگل به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری روزصفر با شناسه CVE-2024-0519 در مرورگرکروم منتشر کرده‌است. طبق بررسی‌های انجام شده، این آسیب‌پذیری در موتور جاوا اسکریپت کروم V8 شناسایی شده است. این نقص با شدت بالا شامل ضعف دسترسی به حافظه خارج از محدوده است که مهاجمان را قادر می‌سازد به داده‌های فراتر از بافرحافظه اختصاص داده‌شده، دسترسی پیدا کنند. بهره‌برداری از این آسیب‌پذیری ممکن است منجر به دسترسی غیرمجاز به اطلاعات حساس و یا خرابی سیستم شود.
علاوه بر خطر دسترسی غیرمجاز به حافظه، آسیب‌پذیری CVE-2024-0519 همچنین می‌تواند جهت دور زدن مکانیسم‌های حفاظتی مانند Address Space Layout Randomization (ASLR) مورد بهره‌برداری قرار‌گیرد. این امر می‌تواند اجرای کدهای مخرب را از طریق یک ضعف امنیتی دیگر تسهیل کند و تأثیر بالقوه بهره‌برداری را افزایش دهد.

توصیه‌های امنیتی
نسخه‌های وصله‌شده اکنون به صورت جهانی برای کاربران ویندوز (نسخه 120.0.6099.224/225)، مک (نسخه 120.0.6099.234) و لینوکس (نسخه 120.0.6099.224) در دسترس هستند. توصیه می‌شود کاربران در اسرع وقت به نسخه‌های ذکرشده ، به‌روزرسانی کنند.

منبع خبر:

https://www.bleepingcomputer.com/news/security/google-fixes-first-actively-exploited-chrome-zero-da…;

Atlassian چند گزارش آسیب‌پذیری را در بولتن امنیتی خود منتشر کرد که جزئیات آن‌ها به شرح زیر ارائه می‌شود:

•    آسیب‌پذیری با شناسه CVE-2023-22526 و شدت بالا 7.2 درAtlassian  امکان اجرای کد از راه دور (RCE) را برای مهاجم احراز هویت شده فراهم می‌آورد. این آسیب‌پذیری محرمانگی، یکپارچگی و دسترس‌پذیری را تحت تأثیر قرار می‌دهد و نیازی به تعامل با کاربر ندارد. 

•    آسیب‌پذیری با شناسه CVE-2023-22527 و شدت بحرانی 10.0 درAtlassian  امکان تزریق template که منجربه اجرای کد از راه دور (RCE) می‌شود را برای مهاجم احراز هویت نشده فراهم می‌آورد.

•    آسیب‌پذیری با شناسه CVE-2024-21672 و شدت بالا 8.3 درAtlassian  امکان اجرای کد از راه دور (RCE) را برای مهاجم احراز هویت نشده فراهم می‌آورد و مهاجم می‌تواند از راه دور از دارایی‌های (assets) موجود بهره‌برداری کند. این آسیب‌پذیری محرمانگی، یکپارچگی و دسترس‌پذیری را تحت تأثیر قرار می‌دهد و نیاز به تعامل با کاربر دارد.

•    آسیب‌پذیری با شناسه CVE-2024-21673 و شدت بالا 8.0 درAtlassian  امکان اجرای کد از راه دور (RCE) را برای مهاجم احراز هویت شده فراهم می‌آورد و مهاجم می‌تواند از راه دور از دارایی‌های (assets) موجود بهره‌برداری کند. این آسیب‌پذیری محرمانگی، یکپارچگی و دسترس‌پذیری را تحت تأثیر قرار می‌دهد و نیازی به تعامل با کاربر ندارد.

•    آسیب‌پذیری با شناسه CVE-2024-21674 و شدت بالا 8.6 درAtlassian  امکان اجرای کد از راه دور (RCE) را برای مهاجم احراز هویت نشده فراهم می‌آورد و مهاجم می‌تواند دارایی‌های (assets) مستعد سوء استفاده را افشا کند. این آسیب‌پذیری محرمانگی را تحت تأثیر قرار می‌دهد ولی یکپارچگی و دسترس‌پذیری تحت تأثیر قرار نمی‌گیرند و نیازی به تعامل با کاربر ندارد.

محصولات تحت تأثیر
این آسیب‌پذیری محصولات Atlassian شامل Confluence Data Center  نسخه 7.19.0، Confluence Data Center و Server  نسخه‌های 8.0.x ,8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.0, 8.5.1, 8.5.2, 8.5.3، نسخه 2.1.0 و نسخه 7.13.0 را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Confluence Data Center و Server به آخرین نسخه‌ی وصله‌شده اقدام نمایند. 
•    Confluence Data Center و Server نسخه 7.19، به نسخه‌ 7.19.17، 7.19.18 و یا نسخه بالاتر از 7.19.x ارتقاء داده شود.
•    Confluence Data Center و Server نسخه 8.5، به نسخه 8.5.5 یا نسخه منتشر شده بالاتر از 8.5.x ارتقاء داده شود.
•    Confluence Data Center و Server نسخه 8.7، به نسخه 8.7.2 یا نسخه منتشر شده بالاتر ارتقاء داده شود.
•    Confluence Data Center و Server به نسخه 8.5.4 (LTS) یا 8.5.5 (LTS) ارتقاء داده شود.
•    Confluence Data Center به نسخه 8.6.0 یا بالاتر ارتقاء داده شود.
•    فقط Data Center به نسخه‌های 8.7.1، 8.6.3 و 8.7.2 یا بالاتر ارتقاء داده شود.

منابع خبر:

[1] https://confluence.atlassian.com/pages/viewpage.action?pageId=1333335615
[2] https://confluence.atlassian.com/doc/confluence-release-notes-327.html

در کمپین‌های اخیر، مهاجمان عمدتاً از شبکه‌های اجتماعی مانند توییتر و دیسکورد جهت توزیع صفحات فیشینگ با موضوع ارزهای دیجیتال استفاده کرده‌اند که در نهایت منجر به ارائه بدافزار CLINKSINK شده است. بدافزار CLINKSINK از نوع Draider می‌باشد و برای سرقت اطلاعات حساس از قربانیان طراحی شده است. داده‌‎هایی که معمولاً توسط CLINKSINK استخراج می شوند عبارتند از:

• اطلاعات شخصی مانند نام، آدرس، شماره تلفن و شماره کارت اعتباری
• رمزهای عبور و اطلاعات ورود به سیستم
• اطلاعات مالی مانند شماره حساب بانکی و اطلاعات کارت اعتباری
• اطلاعات حساس مانند اسناد دولتی یا پزشکی
• آدرس کیف پول ارزهای دیجیتال
• کلیدهای خصوصی کیف پول
•  کلمات بازیابی کیف پول

این بدافزار عمدتاً از طریق صفحات فیشینگ با موضوع ارزهای دیجیتال توزیع می‌شود. دامنه‌ها و صفحات فیشینگ مشاهده‌شده، عمدتاً از جعل طرح‌های AirDrop منابع قانونی ارزهای دیجیتال مانند پلتفرم‌های Phantom، DappRadar و BONK استفاده می‌کنند. در تصاویر زیر نمونه‌هایی از این صفحات فیشینگ  مشاهده می‌شود که حاوی کد جاوااسکریپت بدافزار CLINKSINK می‌باشند که امکان اتصال به کیف پول قربانی و سرقت ارزهای آن را فراهم می‌کنند.

 
شکل 1 صفحه فیشینگ BONK

شکل 2 صفحه فیشینگ PHNTM

شکل 3 صفحه فیشینگ DappRadar

قربانی پس از ورود به سایت‌های فیشینگ از طریق لینک‌های توزیع شده در شبکه‌های اجتماعی، کیف پول را برای دریافت توکن به این سایت‌ها متصل می‌کند. پس از اتصال، از قربانی خواسته می‌شود تا یک تراکنش را امضا و تأیید کند. این کار منجر به سرقت ارزهای دیجیتال از کیف قربانی می‌شود.

آنالیز اولیه CLINKSINK
فایل CLINKSINK تجزیه و تحلیل شده (MD5 hash 8650e83da50bd726f77311b729905c0d) توسط یک کد جاوااسکریپت مبهم شده است. در بارگذاری صفحه، نمونه ابتدا بررسی می‌کند که آیا قربانی کیف‌پول دسکتاپ فانتوم را نصب کرده است یا خیر. در حالی که برخی از انواع شناسایی شده CLINKSINK چندین کیف پول ارزهای دیجیتال را هدف قرار می‌دهند، این نوع فقط فانتوم را هدف قرار می‌دهد. اگر این بررسی مثبت باشد، نمونه یک درخواست POST به یک URL در دامنه ontoothers[.]com می‌دهد که حاوی یک عبارت بسیار توهین‌آمیز است.
درخواست POST ارسال شده، به شرح زیر است، اما محققان به دلیل محتوای بدآموزی آن را حذف کرده‌اند:

<REDACTED>: null696969

کلید رمزگذاری که برای رمزگذاری درخواست استفاده می‌شود، به صورت هاردکد شده است:

3i4gthiwkeoqgjnhkiq3owrjgowejrgkomjwekiorfgmjikoewqrjmgij3ritgjfhi3qwrenjgikerdfg

سرور با پیکربندی و شناسه گروه تلگرامی که با AES رمزگذاری شده، پاسخ می‌دهد که در ادامه آمده است. اگر پاسخ رمزگشایی شود، یک متغیر cool وجود دارد که شناسه گروه تلگرامی است. متغیر دوم که حاوی پیکربندی است، از الفاظ رکیک استفاده شده است. این پیکربندی حاوی کیف پول Solana شریک (affiliate) و اپراتور، درصد تقسیم وجوه سرقتی و تعدادی پیکربندی برای کنترل رفتار بدافزار است:

cool: -1002032238930
<REDACTED>: {"receiver":"B4y9s5E8rb79RH4BoQRTqQBPKxpEFxdkL1y3E5A9XYCK","min_value_assets":10,"min_v
alue_connect":10,"button":{"connect":"Sign Up / Sign In with 
Phantom.","desktop_required":"Desktop required","connecting":"Connecting...","connected":"Claim 
Now","claiming":"Claiming...","no_funds":"Wallet has no funds to pay the transaction 
Fees","error":"Something wen't wrong...","rejected":"Claim failed! Try 
again?","change_button":false},"alerts":{"enabled":true,"no_funds":"The wallet you've connected is 
not eligible. Please try again with another wallet."},"split":0.2,"show_full_url":true,"instant_popup_if_installed":false,"redirect_if_not_installed"
:true,"solana_price":100.9,"split_address":"B8Y1dERnVNoUUXeXA4NaCHiB9htcukMSkfHrFsTMHA7h"}

در پاسخ بالا، از قربانی خواسته می‌شود که کیف پول Solana خود را متصل کند. پس از اتصال، یک درخواست به URL دوم در دامنه ontoothers[.]com ارسال می‌شود که حاوی آدرس کیف پول‌های متصل شده است. سرور، یک جستجوی روی کیف پول متصل شده انجام می‌دهد و برخی جزئیات از جمله میزان موجودی آن را به دست می‌آورد و در پاسخ ارسال می‌کند. سرور همچنین آدرس‌های کیف پول ارسال شده را بررسی می‌کند و اگر بیش از یک بار متصل شده باشند، پیام null را برمی‌گرداند.
اگر سرور جزئیات معتبری از کیف پول ارسال کند، یعنی کیف پول تکراری نباشد، بدافزار یک درخواست جدید به URL سوم در دامنه ontoothers[.]com ارسال می‌کند که حاوی جزئیات بیشتر از کیف پول و وب سایت شریک CLINKSINK است. سپس از قربانی می‌خواهد تا یک تراکنش جعلی را امضا و تأیید کند. اگر قربانی این کار را انجام ندهد، سرقت شکست می‌خورد. با توجه به افزایش ارزش ارزهای دیجیتال، نشت کد منبع CLINKSINK باعث افزایش فعالیت‌های تخلیه توسط مهاجمان شده است. به دلیل پتانسیل سودآوری بالای این عملیات، مهاجمان همچنان این روند را ادامه خواهند داد. در مجموع، می‌توان گفت که فعالیت CLINKSINK در آینده نزدیک افزایش خواهد یافت. مهاجمان با انگیزه مالی و افزایش ارزش ارزهای دیجیتال و نشت کد منبع از CLINKSINK برای انجام حملات بیشتر استفاده خواهند کرد.
 
منبع‌خبر:

https://www.mandiant.com/resources/blog/solana-cryptocurrency-stolen-clinksink-drainer-campaigns
 

یک آسیب‌پذیری با شناسه CVE-2023-7102 و شدت بالا در دستگاه‌های ESG Barracuda شناسایی شده است که می‌تواند منجر به حملات مخرب گسترده شود.
این آسیب‌پذیری ناشی از یک ضعف در کتابخانه Spreadsheet::Parse Excel شخص ثالث است که توسط اسکنر ویروس Amavis که در دستگاه‌های ESG اجرا می‌شود، استفاده می‌شود. این ضعف به مهاجمان اجازه می‌دهد تا یک فایل اکسل آلوده را به یک دستگاه ESG ارسال کنند. هنگامی که این فایل باز می‌شود، کد مخرب اجرا شده و کنترل دستگاه را به دست می‌گیرد. مهاجم می‌تواند از این کنترل برای انجام طیف گسترده‌ای از فعالیت‌های مخرب از جمله نصب بدافزارها، سرقت اطلاعات و خرابکاری در دستگاه آسیب‌دیده استفاده کند.
علائم احتمالی بهره‌برداری از این آسیب‌پذیری و آلوده شدن دستگاه به آسیب‌پذیری مذکور عبارتند از:
•    افزایش غیرمنتظره ترافیک شبکه به دستگاه ESG
•    افزایش غیرمنتظره استفاده از منابع پردازشی یا حافظه در دستگاه  ESG  
•    مشاهده فعالیت‌های غیرمعمول در دستگاهESG ، مانند تلاش برای دسترسی به پورت‌های شبکه غیرمعمول یا راه‌اندازی برنامه‌های غیرمعمول

توصیه‌های امنیتی
توصیه می‌شود که همه کاربران، دستگاه‌های ESG Barracuda را به نسخه 7.3.0 یا بالاتر به‌روز کنند تا تأثیرات مخرب این آسیب‌پذیری به دور باشند.

منبع‌خبر:

https://www.bleepingcomputer.com/news/security/barracuda-fixes-new-esg-zero-day-exploited-by-chines…

GitPython یک کتابخانه پایتون است که برای تعامل با مخازن git مورد استفاده قرار می‌گیرد و می‌تواند محتویات داخل مخازن مربوطه را بخواند و همچنین در آن‌ها بنویسد. پیشتر، آسیب‌پذیری‌ای با شناسه CVE-2023-40590 در Gitpython کشف شده‌بود که اصلاحاتی برای آن ارائه شد اما این بار در پی نقصی که در اصلاحات پیشین وجود داشت، آسیب‌پذیری با شدت بالا و شناسه جدید CVE-2023-22190 در مورد این کتابخانه‌ی پایتون اعلام گردید. این آسیب‌پذیری که شدت CVSS 7.8 را به خود اختصاص داده‌است کاربران ویندوز‌ را تهدید می‌کند. استفاده‌ی Gitpython از یک shell(پوسته) جهت اجرای git، مشابه کاری که برای اجرای bash.exe ‌جهت تفسیر hook  انجام می‌دهد، منجر به استفاده از یک مسیر جستجوی ناامن می‌شود که اگر این امر بر روی یک سیستم با سیتسم‌عامل ویندوز انجام شود می‌تواند اجرای یک فایل مخرب یا آلوده‌ی git.exe یا bash.exe را در پی داشته باشد.
اگرچه GitPython اغلب از اجرای برنامه‌هایی که در یک مسیر جستجوی نامعتبر یافت می‌شوند اجتناب می‌کند، اما همچنان دو موقعیت وجود دارد که هر یک تحت شرایطی، اجازه اجرای کد دلخواه را به مهاجم می‌دهند:
•    هنگامی که از یک shell استفاده می‌شود:
هنگامی کهGitPython ، git را مستقیماً به جای یک پوسته اجرا می‌کند، فرآیند پیش‌فرض جستجوی مسیر انجام می‌شود و مسیر ارائه شده را با تنظیم متغیر محلی NoDefaultCurrentDirectoryInExePath حذف می کند. اما در استفاده از پوسته cmd.exe، این متغیر محلی حذف مسیر از جانب Gitpython انتقال نمی‌یابد.
•    هنگامی که اسکریپت‌های hook اجرا می‌شوند:
Hooks Git، اسکریپت‌هایی هستند که با هربار اجرا یک رویداد خاص در یک مخزن Git به‌طور خودکار اجرا می‌شوند. در ویندوز، GitPython از پوسته‌ي bash.exe جهت اجرای hookهایی که اسکریپت هستند، استفاده می‌کند. با این حال، برخلاف هنگام اجرای git، هیچ اقدامی جهت جلوگیری از یافتن و اجرای bash.exe در مسیر(directory) فعلی صورت نمی‌پذیرد که همین امر عامل وقوع نقص امنیتی‌ مذکور می‌باشد.

محصولات تحت تأثیر
احتمالاً بخش عمده تأثیر این آسیب‌پذیری در برنامه‌هایی است که Git.USE_SHELL = True را جهت حفظ تاریخچه‌ی توسعه‌ی خود تنظیم می‌کنند. چنین برنامه‌هایی ممکن است در برابر اجرای کد دلخواه از یک مخزن مخرب آسیب‌پذیر باشند. اگر از یک پوسته جهت اجرای git استفاده شود، مهاجم می‌تواند کاربر را فریب دهد تا یک مخزن را با یک فایل اجرایی مخرب دانلود کند. باید توجه داشت که اجرای خود برنامه از یک مسیر قابل اعتماد جهت ایمن‌سازی فرایند کافی نیست.

توصیه‌های امنیتی 
این آسیب‌پذیری در نسخه 3.1.41 کتابخانه GitPython وصله شده‌است. 
همچنین راه‌های پیشنهادی جهت کاهش خطر این آسیب‌پذیری به شرح ذیل می‌باشند:

• هنگامی که از یک پوسته استفاده می‌شود، متغیر NoDefaultCurrentDirectoryInExePath را به محیط زیرپردازش منتقل کنید. در این صورت خود پوسته cmd.exe جستجوی مسیر را انجام می‌دهد که راهی ایمن است.
• هنگام فراخوانی Popen که برای اجرای hookها با یک زیرفرایند bash.exe انجام می‌گیرد، NodeFaultCurrentDirectoryInexePath را در محیط فرآیند Gitpython تنظیم کنید.

 
منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-22190&nbsp;
[2] https://github.com/gitpython-developers/GitPython/security/advisories/GHSA-2mqj-m65w-jghx&nbsp;
 

یک آسیب‌پذیری با شناسه CVE-2024-21591 و شدت بحرانی (9.4) در محصولات سری SRX و سری EX شرکت Juniper کشف شده است. شرکتJuniper  وصله‌های امنیتی را منتشر کرده است تا یک آسیب‌پذیری اجرای کد از راه دور (RCE) را در فایروال‌های سری SRX و سوئیچ‌های سری EX را رفع کند. این آسیب‌پذیری در رابط کاربری پیکربندی J-Web، به مهاجمان اجازه می‌دهد که بدون نیاز به احراز هویت، امتیازات root را بدست آورده یا اقدام به حملات Denial-of-Service (DoS) بر روی دستگاه‌های آسیب‌پذیر کنند.

محصولات تحت تأثیر
لیست کامل نسخه‌های آسیب‌پذیر Junos OS برای SRX Series و EX Series J-Web شامل موارد زیر است:
•    نسخه‌های Junos OS قبل از 20.4R3-S9
•    نسخه‌های Junos OS 21.2 قبل از 21.2R3-S7
•    نسخه‌های Junos OS 21.3 قبل از 21.3R3-S5
•    نسخه‌های Junos OS 21.4 قبل از 21.4R3-S5
•    نسخه‌های Junos OS 22.1 قبل از 22.1R3-S4
•    نسخه‌های Junos OS 22.2 قبل از 22.2R3-S3
•    نسخه‌های Junos OS 22.3 قبل از 22.3R3-S2
•    نسخه‌های Junos OS 22.4 قبل از 22.4R2-S2, 22.4R3

توصیه‌های امنیتی
تیم واکنش به حوادث امنیتی شرکت Juniper اعلام کرده است که هیچ شواهدی مبنی بر بهره‌برداری از این آسیب‌پذیری در محیط واقعی وجود ندارد. این شرکت به مدیران سیستم توصیه می‌کند که بلافاصله وصله‌های امنیتی را اعمال کنند یا نسخه JunOS خود را به آخرین نسخه به‌روزرسانی نمایند. همچنین، اگر امکان به‌روزرسانی فوری وجود ندارد، می‌توانند رابط J-Web را به ‌طور موقت غیرفعال کنند.

منبع خبر:

https://www.bleepingcomputer.com/news/security/juniper-warns-of-critical-rce-bug-in-its-firewalls-a…

به تازگی محققان امنیتی دو آسیب‌پذیری با شناسه‌های CVE-2023-46805 و CVE-2024-21887 با شدت 9.1 در Connect Secure و Ivanti Policy Secure  کشف کرده‌اند. این آسیب‌پذیری‌ها می‌توانند به مهاجمان اجازه دهند تا با ارسال درخواست‌های خاص، کنترل دستگاه‌های آسیب‌دیده را به دست گیرند و آسیب‌های جدی به شبکه‌های سازمانی وارد کنند. CVE-2023-46805 یک آسیب‌پذیری دور زدن احراز هویت در مؤلفه وب ICS (9.x, 22.x) و IPS است که می‌تواند به مهاجم از راه دور اجازه دهد تا با دور زدن کنترل‌های دسترسی، به منابع محدود‌شده دسترسی پیدا کند. آسیب‌پذیری CVE-2024-21887 یک نقص تزریق دستور در مؤلفه‌های وب IPS (9.x , 22.x) و  ICS است که به یک کاربر administrator احراز‌ هویت شده اجازه می‌دهد تا با ارسال درخواست‌های جعلی خاص، دستورات دلخواه را بر روی دستگاه آسیب‌دیده اجرا کند. در صورتی که از هر دو آسیب‌پذیری مذکور استفاده شود، بهره‌برداری نیازی به احراز هویت نداشته و مهاجم می‌تواند با ارسال درخواست‌های مخرب، دستورات دلخواه خود را بر روی سیستم اجرا کند.

محصولات تحت تأثیر
Connect Secure و Ivanti Policy Secure  تحت تأثیر آسیب‌پذیری‌های فوق قرار دارند.

توصیه‌های امنیتی
پیروی از توصیه‌های ارائه شده جهت کاهش آسیب‌پذیری‌ها ضروری است. در این مورد، اقدامات زیر توصیه می‌شوند:
1-    فایروال‌های سیستم‌ها به نسخه‌های 9.12.2 یا 22.3.2 به‌روز شود.
2-    برای جلوگیری از دسترسی غیرمجاز به فایروال‌ها، از یک فایروال یا سایر دستگاه‌های امنیتی استفاده ‌شود.
3-    برای ورود، از احراز هویت چندعاملی استفاده می‌شود.
4-    برای شناسایی و رفع آسیب‌پذیری‌های موجود در شبکه، از یک برنامه مدیریت آسیب‌پذیری استفاده ‌شود.
5-    جهت آموزش کارکنان در مورد خطرات امنیتی و نحوه محافظت از خود در برابر آنها، از یک برنامه آموزش امنیت سایبری استفاده شود.

منابع‌خبر:

[1] https://www.ncsc.gov.uk/news/exploitation-ivanti-vulnerabilities
[2] https://www.rapid7.com/blog/post/2024/01/11/etr-zero-day-exploitation-of-ivanti-connect-secure-and-…

سیسکو یک آسیب‌پذیری با شناسه CVE-2024-20272 با شدت بالا (7.3) را در نرم‌افزار Unity Connection برطرف کرده است.  این آسیب‌پذیری به مهاجم اجازه می‌دهد دستورات دلخواه خود را در سیستم اجرا کند. این نقص امنیتی در بخشی از رابط مدیریت مبتنی بر وب قرار دارد که فرآیند آپلود فایل نادرست پیاده‌سازی شده است، امکان سوءاستفاده از آن برای اجرای دستورات مخرب بر روی سیستم آسیب‌دیده وجود دارد.
این آسیب‌پذیری ناشی از عدم انجام فرآیند احراز هویت صحیح در یک API خاص و اعتبارسنجی نامناسب داده‌های ارسالی کاربر است. این امر باعث می‌شود که مهاجمان بتوانند از این نقص امنیتی برای بارگذاری فایل‌های مخرب به سیستم استفاده کنند و به این ترتیب کنترل کامل سیستم را در اختیار بگیرند.
 

محصولات تحت تأثیر
Cisco Unity Connection نسخه‌های 12.5 و قبل‌تر و نسخه 14 تحت تأثیر این آسیب‌پذیری قرار می‌گیرند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت Cisco Unity Connection نسخه 12.5 را به نسخه 4-12.5.1.19017 و نسخه 14 را به نسخه 5-14.0.1.14006 ارتقاء دهند.

منبع خبر:

https://thehackernews.com/2024/01/cisco-fixes-high-risk-vulnerability.html