نسخه جدیدی از تروجان"Bandook"  منتشر شده است که تلاش می‌کند از طریق حملات فیشینگ به سیستم‌های ویندوز نفوذ کند که نشان‌دهنده تکامل مداوم این نوع بدافزار است. این بدافزار از طریق یک فایل PDF  که حاوی یک لینک به یک فایل 7z. با رمز عبور محافظت‌شده است، سیستم‌های ویندوزی را آلوده می‌کند.
پس از استخراج بدافزار از فایل PDF، با استفاده از یک رمز عبور، بدافزار کد خود را به فایل اجرایی msinfo32.exe  تزریق می‌کند. سپس از سرور C2 برای برقراری ارتباط با سیستم استفاده می‌کند و دستورات و فرامین لازم برای اجرا بر روی سیستم قربانی را از سرور C2 دریافت می‌کند
این بدافزار، علاوه بر ایجاد تغییرات در رجیستری ویندوز، برای استقرار دائم در سیستم قربانی، ارتباط با یک سرور کنترل و فرمان(C2)  برقرار می‌کند تا بارهای مفید و دستورات اضافی را دریافت کند.
اقدامات مخرب دیگر این بدافزار شامل مواردی نظیر تلاش برای دستکاری فایل‌ها و رجیستری، دانلود فایل‌های اضافی، سرقت اطلاعات، اجرای فایل‌ها، فراخوانی توابع از راه دور و از طریقDLL، کنترل کامپیوتر قربانی، قطع فرآیند‌های مشکوک و حذف خود از سیستم می‌شوند.

محصولات تحت تأثیر
این تروجان از طریق حملات فیشینگ با هدف نفوذ به سیستم‌های ویندوز گسترش یافته است.

توصیه‌های امنیتی
برای در امان ماندن از نفوذ بدافزار به سیستم‌ها، کاربران باید آگاهی داشته باشند که به دقت لینک‌ها و ضمیمه‌های ارسالی از منابع مشکوک را بررسی کنند و هرگونه درخواست اطلاعات حساس را تایید نکنند. استفاده از محصولات Fortinet نظیر FortiGate، FortiMail و FortiClient توصیه شده است. همچنین، سرویس FortiGuard CDR (content disarm and reconstruction) قادر است ماکروهای مخرب موجود در اسناد را غیرفعال‌سازی کند.

منابع خبر:

[1]     https://securityaffairs.com/157065/malware/bandook-rat-targets-windows.html
[2]     https://thehackernews.com/2024/01/new-bandook-rat-variant-resurfaces.html
[3]     https://www.fortinet.com/blog/threat-research/bandook-persistent-threat-that-keeps-evolving

QuMagie یک برنامه مدیریت چندرسانه‌ای است که توسط QNAP Systems توسعه یافته است. Qumagie برای کمک به کاربران در سازماندهی، مدیریت و به اشتراک‌گذاری تصاویر و ویدئوها طراحی شده ‌است. این نرم‌افزار اغلب شامل ویژگی‌هایی از جمله تشخیص چهره، دسته‌بندی هوشمند و برچسب‌گذاری خودکار برای کارآمدتر کردن فرآیند مدیریت محتوای چندرسانه‌ای است.
سه آسیب‌پذیری با شناسه‌های CVE-2023-47219 و شدت 3.5، CVE-2023-47559 با شدت 5.5 و CVE-2023-47560 با شدت 7.4 در QuMagie شناسایی شده ‌است.
CVE-2023-47559: در صورت بهره‌برداری، آسیب‌پذیری اسکریپت بین سایتی (XSS) می‌تواند به کاربران احراز هویت شده اجازه‌ دهد تا کدهای مخرب را از طریق شبکه تزریق ‌کنند.
CVE-2023-47560: در صورت بهره‌برداری، آسیب‌پذیری تزریق دستور سیستم‌عامل می‌تواند به کاربران احراز هویت شده اجازه ‌دهد تا کد مخرب را از طریق شبکه تزریق کنند.
CVE-2023-47219 : این آسیب‌پذیری مربوط به تزریق SQL است که در صورت بهره‌برداری، می‌تواند به  کاربران مجاز اجازه ‌دهد کد مخرب را از طریق شبکه تزریق کنند.

محصولات تحت تأثیر
 نسخه‌ QuMagie 2.2.x در برابر نقص‌های امنیتی مذکور، آسیب‌پذیر هستند.

توصیه‌های امنیتی
نسخه QuMagie 2.2.1 و بالاتر جهت رفع آسیب‌پذیری‌های مذکور منتشر شده است، توصیه می‌شود کاربران نرم‌افزار خود را به این نسخه به‌روزرسانی کنند.

منابع خبر:

[1] https://www.qnap.com/en/security-advisory/qsa-23-23  
[2] https://www.qnap.com/en/security-advisory/qsa-23-32  

RSS Aggregator یک افزونه وردپرس است که به عنوان یک جمع‌آوری‌کننده RSS قدرتمند طراحی شده ‌است. از ویژگی‌های اصلی آن می‌توان به مدیریت محتوا، وبلاگ نویسی خودکار، import RSS، تجمیع اخبار و امکان نمایش RSS feeds نامحدود در وب‌سایت‌های وردپرس اشاره‌کرد.
دو آسیب‌پذیری با شناسه‌های CVE-2023-6801 و شدت متوسط (6.4) و CVE-2023-6798 با شدت متوسط (5.4) در این افزونه شناسایی شده است.
در آسیب‌پذیری CVE-2023-6801، افزونه‌ RSS Aggregator به دلیل عدم پاکسازی مناسب ورودی و خروجی در admin settings در برابر اسکریپت بین سایتی ذخیره شده (XSS) آسیب‌پذیر است. مهاجم احراز هویت‌ شده با دسترسی‌ای مانند نویسنده یا بالاتر می‌تواند اسکریپت‌های مخرب وب را تزریق‌ کرده تا هر زمان که کاربر به صفحه دسترسی پیدا کرد، اسکریپت‌ها اجرا شوند.
در نقص CVE-2023-6798 افزونه‌ RSS Aggregator به دلیل عدم بررسی کافی قابلیت به‌روزرسانی تنظیمات، در برابر بروزرسانی تنظیمات غیرمجاز، آسیب‌پذیر است. مهاجم احرازهویت شده با دسترسی‌ای مانند نویسنده یا بالاتر می‌تواند تنظیمات افزونه، از جمله تنظیمات حساس proxy  را تغییر دهد.

محصولات تحت تأثیر
تمام نسخه‌های افزونه‌ RSS Aggregator از جمله Feedzy – Feed to Post، Autoblogging و News & YouTube Video Feeds Aggregator تا قبل از نسخه 4.3.3 در برابر نقص‌های امنیتی مذکور، آسیب‌پذیر هستند.

توصیه‌های امنیتی
کاربران می‌توانند RSS Aggregator را به نسخه 4.3.3 یا نسخه وصله شده جدیدتر به‌روزرسانی کنند.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-6798
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-6801 

یک آسیب‌پذیری با شناسه CVE-2023-47145 و شدت بالا 8.4 در برخی از محصولات شرکت IBM کشف شده است که امکان ارتقاء سطح دسترسی (SYSTEM) با استفاده از عملکرد MSI (MSI repair functionality) را برای مهاجم محلی فراهم می‌آورد. 

محصولات تحت تأثیر
این آسیب‌پذیری محصول IBM ، شاملIBM DB2  برای ویندوز (شامل سرور اتصال DB2) نسخه‌های 10.5.0.x، 11.1.4.x و 11.5.x (Client (RTCL)) را تحت تأثیر قرار می‌دهد. پلتفرم‌های لینوکس و یونیکس تحت تأثیر قرار نمی‌گیرند. نسخه‌های قبل‌تر (10.1، 9.7 و غیره) نیز ممکن است تحت تأثیر قرار گیرند، اما دیگر پشتیبانی نمی‌شوند.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء IBM DB2  به نسخه‌های وصله ‌شده اقدام نمایند. Build  ویژه برای محصولات تحت تأثیر، V10.5 FP11، V11.1.4 FP7 ، V11.5.8 و V11.5.9، می‌باشد.

منبع خبر:

https://www.ibm.com/support/pages/node/7105500 

Ivanti یک به‌روزرسانی‌ امنیتی بسیار مهمی را برای آسیب‌پذیری با شناسه CVE-2023-39336 و شدت 9.6  در Endpoint Manager (EPM) منتشر‌کرده است. مهاجم در صورت بهره‌برداری از این نقص امنیتی می‌تواند کد دلخواه خود را از راه دور اجرا کند. Ivanti یک شرکت نرم‌افزاری فناوری اطلاعات است. این نرم‌افزار برای امنیت فناوری اطلاعات، مدیریت خدمات فناوری اطلاعات، مدیریت دارایی فناوری اطلاعات، مدیریت نقطه پایانی یکپارچه(EPM)، مدیریت هویت و مدیریت زنجیره تأمین تولید می‌کند.
به گفته Ivanti، اگر این آسیب‌پذیری امنیتی مورد بهره‌برداری قرارگیرد، مهاجمی که به شبکه داخلی دسترسی پیداکند، می‌تواند با SQL injection برای اجرای queries  دلخواه SQL و به دست‌آوردن خروجی بدون نیاز به احرازهویت سوءاستفاده‌کند و مهاجم می‌تواند کنترل ماشین‌هایی که EPM را اجرا می‌کنند، به دست بیاورد. اگر سرور اصلی برای استفاده از SQL Express پیکربندی شده باشد، این امر به طور بالقوه می‌تواند منجر به اجرای کد از راه دور (RCE) در سرور اصلی شود.

محصولات تحت تأثیر
این آسیب‌پذیری بر نسخه‌های EPM 2021 و EPM 2022 قبل از SU5 تأثیر می‌گذارد. 

توصیه‌های امنیتی
به کاربران توصیه می‌شود که در اسرع وقت به‌روزرسانی‌های منتشرشده را اعمال کنند.

منبع خبر:

https://thehackernews.com/2024/01/alert-ivanti-releases-patch-for.html  

سه بسته مخرب جدید در Python Package Index (PyPI) که یک ابزار مدیریت پکیج زبان برنامه‌نویسی پایتون می‌باشد، یافت شد. این بسته‌ها که modularseven، driftme و catme نام‌گذاری شده‌، در ماه گذشته 431 دفعه قبل از حذف شدن، توسط کاربران دانلود شده‌اند.
به گفته محققین این بسته‌ها، پس از استفاده اولیه، یک CoinMiner قابل اجرا را بر روی سیستم‌های لینوکسی مستقر می‌کنند. کد‌ در فایل "init.py" قرار دارد. این کد وظیفه رمزگشایی و واکشی(fetch) مرحله اولیه از یک سرور راه دور را بر عهده دارد. محتوای واکشی شده یک اسکریپت پوسته (shell script) به نام "unmi.sh" است. سپس این اسکریپت یک فایل پیکربندی جهت استخراج ارز دیجیتال را از GitLab بازیابی می‌کند. سپس یک فایل باینری ELF با استفاده از دستور nohup در پس‌زمینه اجرا می‌شود و اطمینان حاصل می‌کند که حتی پس از پایان session نیز به فعالیت خود ادامه می‌دهد. این بسته‌ها، payload   خود را در یک URL  پنهان می‌کنند تا شانس شناسایی را کاهش دهند، سپس payload  به صورت مرحله‌ای آزاد می‌شود و به تدریج فعالیت‌های مخرب خود را انجام می‌دهد. استراتژی به کار‍ رفته در طراحی این بسته‌ها یعنی مخفی‌کردن کدهای مخرب جهت دانلود و استقرار بدافزار در shell script، نشان از پیشرفت قابل توجه‌ای در این زمینه می‌باشد. این روش به جلوگیری از تشخیص توسط نرم‌افزارهای امنیتی کمک می‌کند و در نتیجه فرآیند بهره‌برداری را طولانی می‌کند. علاوه بر این، بدافزار دستورات مخرب را در فایل ~/.bashrc وارد می‌کند. این امر، ماندگاری بدافزار و فعال شدن مجدد آن در دستگاه کاربر را تضمین می‌کند و به طور موثر مدت زمان عملیات مخفی آن را افزایش می‌دهد.

توصیه‌های امنیتی
در صورت مشاهده بسته‌های modularseven، driftme و catme، فورا اقدام به حذف آن‌ها کنید.

منبع خبر:

https://thehackernews.com/2024/01/beware-3-malicious-pypi-packages-found.html?m=1 

افزونه وردپرس OMGF(Optimize My Google Font) یک افزونه رایج در زمینه افزایش سرعت فونت‌های گوگل و بهینه‌سازی دلیوری فونت‌ها می باشد. به تازگی آسیبپذیری در این افزونه کشف شده که به شرح ذیل می‌باشد. آسیب‌پذیری با شناسه CVE-2023-6600 با شدت بالا (8.6) به دلیل عدم بررسی قابلیت‌های تابع update_settings()  که از طریق admin_init در تمامی نسخه‌های تا 5.7.9 ضمیمه شده رخ می‌دهد و منجر به دستکاری غیر مجاز داده‌ها و Stored Cross-Site Scripting است. این امر باعث می‌شود که مهاجم احراز هویت نشده بتواند تنظیمات افزونه را به‌روزرسانی کرده و از طریق می‌تواند برای تزریق بسته‌های Cross-Site Scripting اقدام کند، همچنین توانایی حذف کل دایرکتوری‌ها را نیز دارد.
بر اساس بردار حمله این آسیب‌پذیری (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)، بهره‌برداری از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین دارد (PR:L)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت با شدت زیادی تحت تأثیر قرار می‌گیرند.

محصولات تحت تأثیر
تمام نسخه‌های افزونه وردپرس OMGF تا قبل از نسخه 5.7.10 در برابر نقص‌های امنیتی مذکور، آسیب‌پذیر هستند.

توصیه‌های امنیتی
چندین بار تلاش برای رفع این مشکل انجام شده و در حال حاضر نسخه 5.7.10 تا حد زیادی ایمن‌ می‌باشد.

منابع خبر:

[1]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/host-webfonts-local/omgf-g…
[2]https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3008876%40host-web…

محققان امنیتی روزانه صدها آدرس IP را که دارای سرویس‌هایApache RocketMQ  آسیب‌پذیر در برابر حمله اجرای کد از راه دور، با شناسه‌های CVE-2023-33246 و CVE-2023-37582 هستند، اسکن و شناسایی می‌کنند. هر دو شناسه آسیب‌پذیر که دارای شدت بحرانی 9.8 هستند، پس از انتشار وصله اولیه در ماه می ۲۰۲۳ همچنان فعال باقی ماندند.
پس از بررسی شناسه آسیب‌پذیرCVE-2023-33246  مشخص شد چندین مؤلفه از جمله NameServer، Broker  وController  تحت تأثیر  این آسیب‌پذیری قرار دارند. آپاچی وصله‌ای را منتشر کرد که برای مؤلفه NameServer  در RocketMQ ناقص بود و همچنان بر نسخه‌های 5.1 و بالاتر از پلتفرم پیام‌رسانی و پخش توزیع شده (distributed messaging and streaming platform) تأثیر می‌گذاشت.
در خصوص آسیب‌پذیری CVE-2023-37582 هشداری از سمت مدیران پروژه Apache RocketMQ آمده است: مؤلفه RocketMQ NameServer  هنوز دارای آسیب‌پذیری اجرای کد از راه دور است زیرا آسیب‌پذیری  CVE-2023-33246  به‌طور کامل در نسخه 5.1.1 برطرف نشده است. در سیستم‌های آسیب‌پذیر، مهاجمان می‌توانند از این آسیب‌پذیری برای اجرای کد با استفاده از تابع پیکربندی به‌روزرسانی درNameServer ، زمانی که آدرس آن به صورت آنلاین، بدون بررسی مناسب مجوزها در معرض دید قرار می‌گیرد، بهره‌برداری کنند. زمانی که آدرس‌های NameServer در اکسترانت (extranet) افشا می‌شوند و فاقد مجوز تأیید شده هستند، یک مهاجم می‌تواند با استفاده از تابع پیکربندی به‌روزرسانی در مؤلفه NameServer  با اجرای دستورات به ‌عنوان کاربران سیستمی در RocketMQ (یا جعل محتوای پروتکل RocketMQ) این آسیب‌پذیری را مورد بهره‌برداری قرار دهند.
پلتفرم ShadowServer  صدها هاست (Hosts) را ثبت کرده است که سیستم‌های RocketMQ را به ‌صورت آنلاین اسکن کرده و برخی از آن‌ها سعی در بهره‌برداری از این دو آسیب‌پذیری دارند. مهاجمان تقریبا از آگوست 2023، زمانی که نسخه جدیدی از بات نت DreamBus با استفاده از اکسپلویت CVE-2023-33246 برای drop کردن ماینرهای XMRig Monero روی سرورهای آسیب‌پذیر مشاهده شد، سیستم‌های آسیب‌پذیر Apache RocketMQ را جز اهداف قرار دادند.

توصیه‌های امنیتی
برای جلوگیری از خطرات احتمالی ناشی از آسیب‌پذیری CVE-2023-33246، به کاربران توصیه می‌شود، NameServer را به نسخه 5.1.1 یا بالاتر برای استفاده از RocketMQ نسخه 5.x یا به نسخه 4.9.6 یا بالاتر برای استفاده از RocketMQ نسخه 4.x ارتقا دهند.
و در آسیب‌پذیری CVE-2023-37582 باید NameServer را به نسخه 5.1.2 یا بالاتر برای استفاده از RocketMQ  نسخه 5.x یا به نسخه 4.9.7 یا بالاتر برای استفاده از RocketMQ  نسخه 4.x ارتقا دهند.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/hackers-target-apache-rocketmq-servers-vulnerable-to…
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-33246
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-37582

به تازگی محققان امنیتی چند آسیب‌پذیری تزریق SQL با شناسه‌های CVE-2023-52131، CVE-2023-52132 و CVE-2023-52133 و شدت 8.8 را در چند افزونه‌ وردپرس کشف کرده‌اند که می‌توانند منجر به اجرای کد دلخواه، افشای اطلاعات حساس و اختلال در عملکرد نرم‌افزار شوند.
شناسه CVE-2023-52131 یک آسیب‌پذیری تزریق SQL در افزونه‌ Easy Digital Downloads است. این آسیب‌پذیری در پارامتر s مربوط به edd_download_search رخ می‌دهد. مهاجم می‌تواند با ارسال کد دلخواه در این پارامتر، اطلاعات حساس، مانند نام کاربری و رمز عبور، از پایگاه داده وردپرس افشا کند.

• آسیب‌پذیری CVE-2023-52132

یک آسیب‌پذیری تزریق کد SQL از نوع Unauthenticated در افزونه‌ Paid Memberships Pro می‌باشد که در پارامتر code مسیر /pmpro/v1/order رخ می‌دهد. مهاجم می‌تواند با ارسال یک درخواست HTTP با کد دلخواه خود از آن بهره‌برداری کند. هنگامی که این کد اجرا می‌شود، مهاجم می‌تواند کنترل سیستم قربانی را در دست بگیرد.

• آسیب‌پذیری CVE-2023-52133

یک آسیب‌پذیری تزریق کد SQL از نوع Unauthenticated در افزونه‌ Survey Maker می‌باشد که در پارامتر id مسیر /surveymaker/v1/surveys/get رخ می‌دهد. مهاجم می‌تواند با ارسال یک درخواست HTTP با مقدار id حاوی کد دلخواه از این آسیب‌پذیری بهره‌برداری کند. هنگامی که این کد اجرا می‌شود، مهاجم می‌تواند منجر به اختلال در عملکرد نرم‌افزار شود.

توصیه‌های امنیتی
کاربران جهت محافظت در برابر این آسیب‌پذیری‌ها باید در اسرع وقت افزونه‌‌های وردپرس را به نسخه‌های زیر به‌روزرسانی کنند:

•    Paid Memberships Pro 2.9.8
•    Easy Digital Downloads 3.1.0.4
•    Survey Maker 4.1.8

همچنین با استفاده از یک برنامه آنتی‌ویروس یا فایروال، می‌توان از سیستم خود در برابر حملات احتمالی محافظت کنید.

منابع‌ خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-52131
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-52132
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-52133
[4] https://www.cvedetails.com/cwe-details/89/Improper-Neutralization-of-Special-Elements-used-in-an-SQ…

Red Hat از وجود چهار آسیب‌پذیری در محصولات خود خبر داد. اولین آسیب‌پذیری با شناسه‌ CVE-2023-6944 و شدت بالا (7.3) در Red Hat Developer Hub (RHDH) امکان قرار دادن کدهای مخرب در مخازن (repositories) و اجرای آنها را برای مهاجم فراهم می‌سازد.
آسیب‌پذیری دوم با شناسه‌ CVE-2023-6270 و شدت بالا (7.0) درATA over Ethernet (AoE) driver در Red Hat Enterprise Linux شناسایی شده است. در این آسیب‌پذیری، به دلیل اینکه تابع aoecmd_cfg_pkts() به‌ صورت نامناسب، refcnt را در struct net_device به‌روزرسانی می‌کند و همچنین به دلیل داشتن دسترسی از طریق skbtxq global queue، امکان حمله انکار سرویس و اجرای کد را برای مهاجم فراهم می‌سازد.
سومین آسیب‌پذیری با شناسه  CVE-2024-0193و شدت بالا (7.8) یک نقص در زیرمجموعه netfilter هسته لینوکس است که می‌تواند منجر به use-after-free روی شی NFT_CHAIN یا شی NFT_OBJECT شود، و امکان ارتقاء سطح دسترسی یک کاربر محلی با قابلیت CAP_NET_ADMIN را بر روی سیستم فراهم می‌کند. تنها کاربران محلی با قابلیت CAP_NET_ADMIN یا ریشه (root) می‌توانند نسبت به این حمله اقدام کنند. در Red Hat Enterprise لینوکس، کاربران محلی غیر مجاز، می‌توانند از user namespaces غیرمجاز (CONFIG_USER_NS) جهت اعطای این قابلیت به خودشان استفاده کنند.
بر اساس بردار حمله این آسیب‌پذیری (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)، بهره‌برداری از این آسیب‌پذیری از شبکه خارجی امکان‌پذیر نیست. مهاجم باید از راه دور (از طریق پروتکلی مانند SSH یا RDP) به سیستم دسترسی داشته باشد (AV:L) و نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L) و مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین دارد (PR:L) و به تعامل با کاربر نیز نیاز ندارد (UI:N). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و در بدترین شرایط (قربانی شدن کاربری با سطح دسترسی ادمین)، با سوء‌استفاده از این آسیب‌پذیری، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار می‌گیرند.
آخرین آسیب‌پذیری با شناسه CVE-2023-7192 و شدت متوسط (6.1) یک نقص نشت حافظه در تابع ctnetlink_create_conntrack در net/netfilter/nf_conntrack_netlink.c هسته لینوکس است. این آسیب‌پذیری ممکن است به یک مهاجم محلی با دسترسی CAP_NET_ADMIN اجازه دهد که به دلیل سرریز شدن شمارش مجدد (refcount)، منجر به یک حمله انکار سرویس (DoS) شود.
بر اساس بردار حمله این آسیب‌پذیری (AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H)، بهره‌برداری از این آسیب‌پذیری از شبکه خارجی امکان‌پذیر نیست. مهاجم باید از راه دور (از طریق پروتکلی مانند SSH یا RDP) به سیستم دسترسی داشته باشد (AV:L) و نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L) و مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین دارد (PR:L) و به تعامل با کاربر نیز نیاز ندارد (UI:N). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با سوء‌استفاده از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت با شدت زیادی تحت تأثیر قرار می‌گیرند.

محصولات تحت تأثیر

توصیه‌های امنیتی
با توجه به اینکه برای بهره‌برداری از آسیب‌پذیری‌های CVE-2024-0193  و  CVE-2023-7192 مهاجم باید قادر به ایجاد user/net namespaces باشد، کاربران در Red Hat Enterprise Linux 8 می‌توانند user namespaces را با تنظیم user.max_user_namespaces بر روی 0 غیر فعال کنند:

#echo "user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf
# sysctl -p /etc/sysctl.d/userns.conf

منابع خبر:

[1] https://access.redhat.com/security/cve/CVE-2023-6944
[2] https://access.redhat.com/security/cve/CVE-2023-6270
[3] https://access.redhat.com/security/cve/CVE-2024-0193
[4] https://access.redhat.com/security/cve/CVE-2023-7192