یک آسیب‌پذیری با شناسه‌ CVE-2023-48003 در Asp.Net Zero شناسایی شده است که از راه دور امکان Open Redirect از طریق تزریق HTML در پیام‌های کاربر را برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری مهاجم می‌تواند قربانیان را از طریق "<meta http-equiv="refresh" در پیام‌های WebSocket  به هر URL دلخواه هدایت کنند. هنگامی که پیام ارسال شده توسط مهاجم در داشبورد کاربر قربانی ظاهر می‌شود، امکان تغییر مسیر بدون تعامل فعال می‌شود.

محصولات تحت تأثیر
این آسیب‌پذیری محصول Asp.Net Zero نسخه‌های قبل از 12.3.0 را تحت تأثیر خود قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء محصول Asp.Net Zero به نسخه‌ 12.3.0 اقدام نمایند.

منبع خبر:

https://github.com/passtheticket/vulnerability-research/blob/main/aspnetzero_html_injection_via_web…;  

سرورهای SSH لینوکس یک هدف مورد توجه برای حملات سایبری می‌باشند. این پروتکل جهت مدیریت و نگهداری سرورها ضروری است، همچنین می‌تواند برای دسترسی غیرمجاز به سرور استفاده شود. مهاجمان برای حمله به سرورهای SSH لینوکس، مراحل زیر را دنبال می‌کنند:

1. شناسایی سرورها: اولین قدم، شناسایی سرورهای SSH لینوکس است. مهاجمان می‌توانند این کار را با اسکن IP انجام دهند. اسکن IP به مهاجمان اجازه می‌دهد تا تمام سرورهایی که پورت SSH را روی آن‌ها باز کرده‌اند، شناسایی کنند.
2. جمع‌آوری مجوزها و اطلاعات حساب: پس از شناسایی سرورها، مهاجمان باید مجوزها و اطلاعات حساب SSH را برای دسترسی به آن‌ها جمع‌آوری کنند. مهاجمان می‌توانند این کار را با استفاده از حملات brute-force انجام دهند. 
     *حملات brute-force از مجموعه بزرگی از کلمات از پیش تعریف شده به عنوان رمزهای عبور احتمالی استفاده و تمام ترکیبات ممکن از رمزهای عبور را امتحان می‌کنند تا زمانی که رمز عبور صحیح پیدا شود.
3. نصب ابزارها: پس از اینکه مهاجم به سرور دسترسی پیدا کرد، ابزارهای مورد نیاز جهت انجام حمله را نصب می‌کنند. این ابزارها می‌توانند برای اهداف مختلفی مانند حدس زدن مجوزها و اطلاعات حساب، انتخاب سرورهای دیگر و راه‌اندازی استخراج ارز دیجیتال و حملات DDoS استفاده شوند.
مهاجمان می‌توانند از سرورهای SSH لینوکس برای اهداف مختلفی استفاده کنند. برخی از اهداف رایج عبارتند از:

•    سرقت اطلاعات: مهاجمان می‌توانند از سرورهای SSH جهت سرقت اطلاعات حساس مانند اطلاعات مشتری، اطلاعات مالی یا اسرار تجاری استفاده کنند.
•    انتشار بدافزار: مهاجمان می‌توانند از سرورهای SSH جهت انتشار بدافزار مانند ویروس‌ها، کرم‌ها و تروجان‌ها استفاده کنند.
•    حملات DDoS: مهاجمان می‌توانند از سرورهای SSH جهت انجام حملات DDoS استفاده کنند که به طور عمدی ترافیک شبکه را مسدود می‌کنند تا وب سایت‌ها یا خدمات آنلاین را از دسترس خارج کنند.
توصیه‌های امنیتی
جهت محافظت از سرورهای SSH لینوکس در برابر حملات سایبری، می‌توان اقدامات زیر را انجام داد:
•    استفاده از رمزهای عبور قوی: یک رمز عبور قوی باید حداقل 12 کاراکتر داشته باشد و شامل ترکیبی از حروف بزرگ، حروف کوچک، اعداد و نمادها باشد.
•    تغییر پورت SSH: پورت پیش فرض SSH 22 است. تغییر پورت SSH می تواند از حملات brute force جلوگیری کند زیرا مهاجمان باید پورت جدید را نیز اسکن کنند.
•    غیرفعال کردن ورود غیرمجاز کاربر با دسترسی root : کاربر با دسترسی root دارای بیشترین دسترسی در سیستم است و غیرفعال کردن ورود با دسترسی root می‌تواند از دسترسی غیرمجاز مهاجمان به سیستم جلوگیری کند.
•    استفاده از فایروال: فایروال می‌تواند جهت مسدود کردن ترافیک غیرمجاز به سرور استفاده شود.

منبع‌خبر:

https://thehackernews.com/2023/12/warning-poorly-secured-linux-ssh.html

شرکت ESET یک آسیب‌پذیری با شناسه CVE-2023-5594 و شدت 7.5 در ویژگی اسکن ترافیک امن چندین محصول خود را رفع کرد. این نقص امنیتی می‌تواند باعث شود که محصولات ESET ترافیک امن را به عنوان ترافیک غیرامن شناسایی و آن را مسدود کند. این امر می‌تواند منجر به اختلال در ارتباطات، دسترسی به وب‌سایت‌ها و خدمات شود. این آسیب‌پذیری می‌تواند باعث شود که مرورگر‌های وب با استفاده از گواهی‌هایی که با الگوریتم‌های قدیمی و ناامن تایید شده‌اند، به وب‌سایت‌های مخرب اعتماد کنند. این مشکل مربوط به ویژگی اسکن پروتکل SSL/TLS می‌باشد که در محصولات ESET پیاده‌سازی شده است و می‌تواند باعث شود که مرورگر به سایت‌هایی که با گواهینامه‌های امضا شده با الگوریتم‌های منسوخ MD5 یا SHA1 ایمن شده‌اند، اعتماد کند. 
مهاجمان با ارسال بسته‌های ترافیک حاوی کد مخرب به شبکه‌های کامپیوتری آلوده، از این نقص بهره‌برداری و به داده‌های حساس کاربران مانند رمزهای عبور، اطلاعات کارت اعتباری و اطلاعات شخصی دسترسی پیدا می‌کنند. 

محصولات تحت تأثیر
•    آنتی ویروس ESET NOD32، ESET Internet Security، ESET Smart Security Premium، ESET Security Ultimate
•    آنتی ویروس ESET Endpoint برای ویندوز و ESET Endpoint Security برای ویندوز
•    آنتی ویروس ESET Endpoint برای لینوکس 10.0 و بالاتر
•    ESET Server Security برای Windows Server 
•    File Security برای Microsoft Windows Server
•     ESET Mail Security برای Microsoft Exchange Server
•     ESET Mail Security برای IBM Domino، ESET Security برای Microsoft SharePoint Server
•     ESET File Security برای Microsoft Azure
•    ESET Security Server برای لینوکس 10.1 و بالاتر

توصیه‌های امنیتی
این شرکت امنیتی با انتشار ماژول حفاظت از اینترنت که از طریق انتشار به‌روزرسانی خودکار محصول در درسترس می‌باشد، این مشکل را برطرف کرده است و کاربران باید فوراً به آخرین نسخه‌های موجود به‌روزرسانی کنند تا از آسیب احتمالی در امان باشند.

منبع‌خبری:

https://securityaffairs.com/156256/security/eset-secure-traffic-scanning-feature-bugs.html

«Sudo» مخفف «superuser do» می‌باشد، که یک دستور پرکاربرد در سیستم‌عامل‌های لینوکس و یونیکس است. این دستور به کاربران عادی امکان اجرای دستورات خاص به ‌عنوان ابر‌کاربر یا مدیر (Admin) را می‌دهد. آسیب‌پذیری با شناسه CVE-2023-7090 از یک نقص امنیتی در نحوه‌ی ارتباط sudo با فایل تنظیمات `ipa_hostname` به ‌وجود آمده است. به ‌طور خاص، تنظیمات `ipa_hostname` از آدرس `/etc/sssd/sssd.conf` به درستی به sudo منتقل نمی‌شود. این نقص، منجر به یک آسیب‌پذیری در مدیریت دسترسی‌ها شده و باعث می‌شود برنامه‌ها دسترسی را حفظ ‌کنند، درصورتی که باید دسترسی لغو شده باشد. این آسیب‌پذیری با شدت 6.6 به ‌عنوان یک آسیب‌پذیری با شدت متوسط ارزیابی شده است. 

پس از شناسایی آسیب‌پذیری مذکور، توزیع‌کنندگان لینوکس اقداماتی را انجام دادند. برای مثال، Red Hat وصله‌هایی را منتشر کرد تا این آسیب‌پذیری را رفع کند. بنابراین، سیستم‌هایRed Hat Enterprise Linux که این به‌روزرسانی را اعمال کرده‌اند، نسبت به این آسیب‌پذیری امن می‌باشند.
 

محصولات تحت تأثیر

این نقص به علت یک تغییر اساسی که تجزیه و تحلیل دستور را یکپارچه کرده در نسخه sudo 1.8.24 وجود دارد

توصیه‌های امنیتی

به کاربران توصیه می‌شود در اسرع وقت سیستم‌عامل‌های لینوکس و یونیکس خود را به آخرین نسخه‌ به‌روزرسانی کنند.

منابع خبر:

[1] https://access.redhat.com/security/cve/CVE-2023-7090
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-7090

IBM وجود سه آسیب‌پذیری در محصولات خود را اعلام کرد.
اولین آسیب‌پذیری با شناسه‌ CVE-2021-38927 و شدت بالا (7.2) در IBM Aspera Console امکان حمله XSS را برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری مهاجم می‌تواند کدهای جاوا اسکریپت را در رابط کاربری وب جاسازی کرده و منجر به افشای اعتبارنامه‌ها و اطلاعات کاربری در یک سشن مورد اعتماد شود.
آسیب‌پذیری دوم با شناسه‌ CVE-2023-43064 و شدت بالا (7.0) در IBM i product Facsimile Support for i به‌ دلیل فراخوانی یک کتابخانه غیرمجاز، امکان ارتقاء سطح دسترسی را برای مهاجم محلی فراهم می‌آورد. این آسیب‌پذیری منجر به اجرای کد دلخواه با سطح دسترسی کاربر از طریق فراخوانی facsimile support می‌شود.
در سومین آسیب‌پذیری با شناسه‌ CVE-2023-49880 و شدت بالا (7.5)، مهاجم می‌تواند عناصر یک تراکنش را تغییر دهد. در بخش Message Entry and Repair (MER) از Financial Transaction Manager برای SWIFT Services، آدرس ارسال و نوع پیام‌های FIN غیرقابل تغییر فرض می‌شود. در این آسیب‌پذیری تغییر داده‌های Assumed-Immutable (MAID) بر IBM Financial Transaction Manager for SWIFT Services تأثیر می‌گذارد.

محصولات تحت تأثیر
این آسیب‌پذیری محصولات زیر را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء محصولات IBM به نسخه‌های وصله شده، اقدام نمایند.
•    به‌روزرسانی IBM Aspera Console به نسخه 3.4.2 PL6
•    اعمال یک PTF در  IBM i. در IBM i نسخه‌های 7.5 آسیب‌پذیر با 5798-FAX نسخه V5R8M0 وصله شده است.
•    نصب Fix Pack 11 برای نسخه آسیب‌پذیرIBM Financial Transaction Manager for SWIFT Services for Multiplatforms

منابع خبر:

[1] https://www.ibm.com/support/pages/node/7101252
[2] https://www.ibm.com/support/pages/node/7101330
[3] https://www.ibm.com/support/pages/node/7101167

یک آسیب‌پذیری در نرم‌افزار deepin-reader کشف شده است. این نرم‌افزار، سندخوان یا Document Reader پیش‌فرض  Deepin Linux بوده که دارای نقص امنیتی است و منجر به اجرای دستورات از راه دور از طریق فایل دستکاری شده ازنوعdocx  می‌شود.
این آسیب‌پذیری که با شناسه CVE-2023-50254 و شدت ۸.۲ ردیابی می‌شود، تا نسخه 6.0.7 از نرم‌افزار deepin-reader را تحت تأثیر قرار می‌دهد.
نرم‌افزار deepin-reader هنگام کار با اسناد با فرمت docx اقدامات زیر را انجام می‌دهد:
1.    هنگام باز کردن یک سند، یک دایرکتوری موقت در دایرکتوری /tmp ایجاد می‌کند و سند docx را در این زیر فهرست قرار می‌دهد.
2.    سپس deepin-reader دستور پوسته "unzip" را برای استخراج فایل docx فراخوانی می‌کند.
3.    پس از فرآیند استخراج، دستور "pandoc" را برای تبدیل فایل docx به یک فایل html به‌نام "temp.html"  فراخوانی می‌کند.
4.    سپس deepin-reader سعی می‌کند این فایل html را به pdf تبدیل کند و pdf را باز کند.
مهاجم با جاسازی یک فایل symlink با نام "word/temp.html" در یک فایل docx  مخرب از این آسیب‌پذیری بهره می‌برد. فایل symlink می‌تواند به هر فایل دلخواه در سیستم قربانی اشاره کند. بنابراین، هنگامی که pandoc در "word/temp.html" می‌نویسد، در حقیقت یک فایل سیستمی را که symlink  به آن اشاره دارد، بازنویسی می‌کند و این کار بدون اطلاع کاربر انجام می‌شود.
اجرای دستورات از راه دور (RCE) از طریق بازنویسی فایل‌های حیاتی مانند .bash_rc یا .bash_login قابل انجام است. این حمله زمانی شروع می‌شود که کاربر ترمینال را باز می‌کند و اجرای RCE  را فراخوانی می‌کند.
 

توصیه‌های امنیتی
جهت کاهش خطرات احتمالی آسیب‌پذیری فوق در Deepin Linux، می‌توانید اقدامات زیر را انجام دهید:
1.  به‌روزرسانی به نسخه جدید
2.  استفاده از نرم‌افزارهای جایگزین برای مدیریت سند مانند Okular یا Evince
3.  توسعه الگوهای امنیتی مانند AppArmor یا SELinux
4.  محدود کردن دسترسی به /tmp
5.  استفاده از حساب کاربری محدود

منبع خبر:

https://github.com/linuxdeepin/developer-center/security/advisories/GHSA-q9jr-726g-9495

به موازات تکامل و پیشرفت تهدیدات سایبری، سازمان‌ها، صنایع و افراد باید استراتژی‌های دفاعی خود را تطبیق و ارتقا دهند. یکی از ابزارهای قدرتمندی که در سال‌های اخیر پدیدار شده است، OSINT  مخفف عبارت هوش منبع باز یا (Open Source intelligence) است. زمانی که OSINT به درستی مورد استفاده قرار گیرد، می‌تواند دید ارزشمندی در مورد تهدیدات و آسیب‌پذیری‌ها ارائه دهد و اثربخشی تلاش‌های حوزه امنیت سایبری را افزایش دهد. استفاده درست از ابزار OSINT در سازمان می‌تواند امنیت سایبری را با کمک به گردآوری اطلاعات مربوط به شرکت، کارمندان، دارایی‌های فناوری اطلاعات و سایر داده‌های محرمانه یا حساس که می‌تواند توسط مهاجم مورد بهره‌برداری قرار گیرد، بهبود بخشد. گردآوری این اطلاعات و پنهان کردن یا حذف آن‌ها می‌تواند در کاهش حملات سایبری نقش مهمی داشته باشد. افرادی که به طور منظم عملیات OSINT را انجام می‌دهند بسته به نیاز خود از مجموعه‌ای از ابزارها استفاده می‌کنند. Netlas.io یک اسکنر اینترنتی (آنلاین) و یک موتور جستجو است که هر آدرس IPv4 و هر نام دامنه شناخته شده را با استفاده از پروتکل‌هایی مانند HTTP، FTP، SMTP، POP3، IMAP، SMB/CIFS، SSH، Telnet، SQL و غیره اسکن می‌کند. داده‌های جمع‌آوری شده با اطلاعات اضافی دیگر تلفیق شده و در موتور جستجوی آن موجود است. همچنین مجموعه داده‌هایی را برای DNS registry، IP Whois، Domain Whois  وگواهینامه‌های SSL ارائه می‌دهد.
 

شکل ‏1. داشبورد Netlas

شکل 2. برخی اطلاعات وب‌سایت https://netlas.io

Netlas کارایی و قابلیت‌های فراوانی دارد که در ادامه به برخی از آن‌ها اشاره می‌شود:
•    جمع آوری اطلاعات IP/دامنه
•    مدیریت سطح حمله
•    بررسی وب‌سایت‌ها و برنامه‌های کاربردی وب، دستگاه‌های IoT و دارایی‌های آنلاین
•    تست‌های نفوذ و bug bounty (برای شناسایی)
•    شناسایی دامنه‌های shadow IT و فیشینگ
در ادامه برخی از ویژگی‌های Netlas از جمله Subdomain Enumeration بررسی می‌شود. همچنین نحوه پیدا کردن انواع دوربین‌های آنلاین نشان داده می‌شود.
برای استفاده از Netlas، تنها کاری که باید انجام داد این است که به آدرس https://netlas.io مراجعه و روی Try It کلیک کرده و به صورت رایگان ثبت‌نام کرد.
 

شکل 3. صفحه اصلی Netlas

پس از ورود به سیستم، می‌توان آدرس IP، موقعیت مکانی و اطلاعات Whois خود را دید. در همان نوار جستجو، می‌توان هر آدرس IP یا دامنه‌ را جستجو کرد و Netlas تمام اطلاعات مربوط به آن را ارائه می‌دهد. با Netlas می‌توان اطلاعات بیش‌تری مانند آدرس IP، اطلاعات Whois، مکان، ایمیل‌ها، شماره‌ها، دامنه‌های مرتبط، Name Server Records  و  MX(Mail Exchange Records) را پیدا کرد. همچنین تمام پورت‌ها و سرویس‌های موجود را که در حال اجراست، عمدتا https، و در صورت وجود CVE آسیبب‌پذیری آن سرویس را مشاهده کرد. همچنین یک فیلتر برچسب (Tag) وجود دارد که Pulse Secure را نشان می‌دهد.(Pulse Secure نرم‌افزاری است که دسترسی ایمن و تأیید شده را برای کاربران از راه دور و تلفن همراه از هر دستگاه دارای وب، به منابع شرکت فراهم می‌کند).

شکل 4. جستجوی IP/domain

مثال مورد استفاده در این بخش، سایت tetrapak.com می‌باشد.
جستجوی DNS سومین گزینه‌ای است که در سمت چپ ابزار آنلاین Netlas قرار دارد. Netlas فهرستی از مثال‌های مفید برای یافتن اطلاعات مورد نیاز در مورد یک دامنه در اختیار ما قرار می‌دهد. شکل 5 جزئیات بیشتری مانند فهرست زیر دامنه‌ها، آدرس‌های IP برای زیر دامنه‌ها، Name Server (NS)، Mail Server Exchange (MX)  و TXT را نشان می‌دهد. همچنین در سمت راست تصویر فیلترهایی مانند Zones & Levels  وجود دارد که می‌توان از آن‌ها برای محدود کردن نتایج خود استفاده کرد.

شکل 5. جستجوی DNS و زیردامنه

دستور زیر مثالی برای استفاده از فیلتر است:
domain:*.tetrapak.com AND level:4

شکل 6. خروجی دستور domain:*.tetrapak.com AND level:4

مثال برای یافتن دامنه های سطح بالا  (TLD:
domain:*.tetrapak.*
 

شکل 7. خروجی دستور domain:*.tetrapak.*

مثال جهت یافتن زیر دامنه های  .net
(domain:*.tetrapak.*) AND zone:(“net”)
 

شکل 8. نتیجه جستجوی زیر دامنه‌های  .net

همچنین می‌توان نتایج بررسی در Netlas  را ذخیره نمود.
 

شکل 9. ذخیره نتایج

در صورت ذخیره نتایج با فرمت Json، جهت آنالیز آن می‌توان از سایت زیر استفاده نمود:
https://jsonformatter.org/json-viewer
یا از دستور cat و grep در kali استفاده کرد.
با استفاده از ابزار Netlas می‌توان گروه خاصی از خدمات یا دستگاه‌ها مانند IP cameras، دستگاه‌های اینترنت اشیا، پایگاه‌های اطلاعاتی، سرورهای وب و غیره را جستجو کرد.
مثال جهت جستجوی دوربین‌های آنلاین:
search (http.title:”Web camera”)
 

شکل 10. جستجوی دوربین‌های آنلاین

دستور شکل ‏10،  همه وب سایت‌هایی  را که کلمه " Web camera" در عنوان http خود دارند، جستجو می‌کند. (همچنین می‌توان از برچسب geo.country:AU  استفاده کرد تا نتایج را بر اساس کشور (به ‌عنوان مثال: کشور استرالیا (AU) ) فیلتر کند.). سپس می‌توان با استفاده از رمز عبور پیش‌فرض و یا bruteforce به دوربین دسترسی پیدا کرد.
دستور زیر جهت جستجو وب‌کم یک سازنده خاص به نام dlink است.
tag.dlink_webcam:*

بنابراین Netlas ابزاری مفید برای یافتن دوربین‌های آنلاین است. همچنین می‌توان با استفاده از درخواست‌های خاص، دوربین‌های سازنده‌های خاصی را که دارای آسیب‌پذیری میان‌افزار هستند یا رمزهای عبور پیش‌فرض دارند، جستجو کرد.
Netlas را می‌توان با tines، Subfinder، Maltego، Amass، Uncover  ادغام کرد. همچنین می‌توان آن را با Nuclei  خودکار کرد. Netlas  دارای یک Chrome Extension اختصاصی است.
Netlas ابزاری کاملا رایگان است و چندین طرح premium با قیمت مناسب ارائه می‌دهد که می‌توان بر اساس نیاز کاری خود از آن‌ها استفاده کرد. طرح‌ها بر اساس محدودیت درخواست، دانلود و نتیجه متمایز می‌شوند. نسخه رایگان Community به شما این امکان را می‌دهد تا روزانه 50 درخواست را به پلتفرم به ‌صورت رایگان ارسال کنید. همچنین دارای یک نسخه Enterprise برای سازمان‌هایی است که به دسترسی نامحدود با تمام ویژگی‌ها و داده‌های Netlas.io نیاز دارند که بهترین راه‌حل را برای تیم‌های امنیت سایبری ارائه می‌دهد.

 منابع خبر:

[1] https://netlas.medium.com
[2] https://github.com/netlas-io
[3] https://github.com/netlas-io/netlas-cookbook

یک آسیب‌پذیری Remote File Inclusion (RFI) با شناسه CVE-2023-6971 و شدت 8.1 در افزونه Backup Migration وردپرس از نسخه 1.0.8 تا 1.3.9 شناسایی شد. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا کد مخرب فایل‌های خارجی را از طریق سرور اجرا کنند. این آسیب‌پذیری می‌تواند منجر به عواقب جدی از جمله از دست دادن داده‌ها، سرقت اطلاعات و حتی حمله DDoS شود.
اساس آسیب‌پذیری مذکور، نحوه پردازش header "content-dir" در افزونه Backup Migration است. این header جهت تعیین مسیر پیش‌فرض برای ذخیره فایل‌های پشتیبان استفاده می‌شود. در نسخه‌های آسیب‌پذیر، این header بدون اعتبارسنجی، در کد PHP پردازش می‌شود. این بدان معناست که یک مهاجم می‌تواند header "content-dir" را با یک آدرس URL برای فایل خارجی جعل کند. اگر ویژگی "allow_url_include"در فایل پیکربندی PHP سرور آسیب‌دیده، دارای مقدار "on" باشد،  PHPکد فایل خارجی را اجرا می‌کند.

http://example.com/evil.php

اگر فایل "evil.php" حاوی کد مخرب باشد، PHP فایل "evil.php" را از وب‌سایت "example.com" می‌خواند و کد آن را اجرا می‌کند. این موضوع می‌تواند منجر به کنترل کامل وب‌سایت آسیب‌دیده توسط مهاجم شود.

توصیه‌های امنیتی
توسعه‌دهندگان افزونه Backup Migration در نسخه 1.4.0 این آسیب‌پذیری را با جایگزینی پارامتر content-dir در تابع backup_migration_get_backup_list با یک متغیر محلی رفع کرده‌اند. این متغیر محلی فقط می‌تواند مقادیری را دریافت کند که به طور صریح تعریف شده‌اند.
علاوه بر این، توسعه‌دهندگان این افزونه توصیه می‌کنند که "allow_url_include" در فایل پیکربندی PHP سرور روی "off " تنظیم شود. این کار، بهره‌برداری از آسیب‌پذیری‌های RFI در سایر افزونه‌ها و قالب‌های وردپرس جلوگیری می‌کند.
 

منابع‌خبر:

[1] https://feedly.com/cve/CVE-2023-6971
[2]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/backup-backup/backup-migra…

یک آسیب‌پذیری در نرم‌افزار Imou Life نسخه 6.7.0 شناسایی شده است که منجر به سرقت Session  خواهد شد و به مهاجم این امکان را خواهد داد تا به‌دلیل عدم فیلتر کردن صحیح کدهای QR هنگام اسکن یک دستگاه جدید و اجرای مستقیم WebView بدون نمایش یا هشدار به کاربر، حساب‌های کاربری را کنترل کند. این آسیب‌پذیری ممکن است حملات فیشینگ را فعال کند. مهاجم از راه دور می‌تواند کد دلخواه خود را از طریق پردازش نادرست کد intent اجرا کند و فعالیت com.mm.android.easy4ip.MainActivity در برنامه com.mm.android.smartlifeiot بدون بررسی صحیح URLها از طریق داده‌های intent عمل بارگذاری را انجام دهد.
یک برنامه مخرب third party می‌تواند از این نقص سوءاستفاده کرده و بارگذاری محتوای مخرب وب را انجام دهد؛ عملیات استخراج جاوا اسکریپت غیرمجاز یا اجرای کد از راه دور در WebView قابل انجام است. برای این کار هیچ مجوزی مورد نیاز نیست. برای مثال، یک برنامه مخرب third party (com.example.d3m0) می‌تواند یک intent را به ‌صورت زیر ایجاد و راه‌اندازی کند:

پس از اجرای این کد، com.mm.android.easy4ip.MainActivity فراخوانی می‌شود تا محتوا از http://maliciouswebsitetest.com بارگذاری شود.
در com.mm.android.easy4ip.MainActivity، URLها بدون اعتبارسنجی کافی از داده‌های intent بارگذاری می‌شوند:

this.url = getIntent().getExtras().getString("url");

دستور زیر نشان می‌دهد که اجرای جاوا اسکریپت در WebView فعال می‌شود:

this.webView.getSettings().setJavaScriptEnabled(true);

با دستور زیر بارگذاری مستقیم محتوای وب با استفاده از URL دریافت شده:

progressWebView.loadUrl(str);

مهاجم می‌تواند از این آسیب‌پذیری جهت اجرای جاوا اسکریپت دلخواه خود بهره‌برداری کرده و منجر به اجرای کد از راه دور شود، شروع عملیات استخراج جاوا اسکریپت غیرمجاز، منابع دستگاه را مصرف می‌کند و دسترسی به اینترنت از دستگاه قربانی را بدون مجوزهای لازم درخواست خواهد کرد.

محصولات تحت تأثیر
این آسیب‌پذیری در نرم‌افزار Imou Life نسخه 6.7.0 وجود دارد.

راهکارهای امنیتی
جهت جلوگیری از آسیب‌پذیری مذکور می‌توان از راهکارهای زیر استفاده کرد:
1.  اعتبارسنجی داده‌های Intent: اطمینان حاصل کنید که هر داده‌ای که از Intent دریافت می‌شود، به ویژه URLها، به دقت اعتبارسنجی شود. از روش‌های مانند استفاده از Regex جهت اعتبارسنجی آدرس‌های وب استفاده کنید. اگر یک URL اعتبارسنجی نشود، نباید به WebView ارسال شود.
2.  غیرفعال کردن اجرای جاوا اسکریپت: اگر برنامه شما نیازی به اجرای جاوا اسکریپت در WebView ندارد، بهتر است JavaScript را غیرفعال کنید. این امر می‌تواند از اجرای کدهای مخرب در WebView جلوگیری کند.
3.  استفاده از فیلترینگ محتوای وب: پیاده‌سازی یک سیاست فیلترینگ برای WebView به وسیله‌ی یک لیست سفید از دامنه‌ها یا URLهای مجاز می‌تواند کمک‌کننده باشد. همچنین امکان بارگذاری محتوا تنها از منابع مورد اعتماد وجود داشته باشد و سایر منابع را مسدود کنید.
4.  اگر فعالیت MainActivity نیازی به استفاده از برنامه‌های third party ندارد، از طریق اعلام در manifest آن را به عنوان «Non-Exporte» در نظر بگیرید. این اقدام می‌تواند از دسترسی برنامه‌های مخرب جلوگیری کند.
5.  اعمال به‌روزرسانی به آخرین نسخه

منابع خبر:

[1] https://github.com/actuator/imou/blob/main/imou-life-6.8.0.md
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-6913

شرکت Dell دو آسیب‌پذیری از محصولات خود را منتشر کرد که در صورت بهره‌برداری از آن‌ها توسط مهاجم منجربه خطر افتادن سیستم آسیب‌دیده می‌شود. این آسیب‌پذیری با شناسه‌ CVE-2023-48670 و شدت بالا 7.3 در SupportAssist و رایانه‌های شخصی خانگی (Home PCs) امکان ارتقاء سطح دسترسی در installer را برای مهاجم فراهم می‌آورد و مهاجم با سطح دسترسی پایین می‌تواند فایل‌های اجرایی دلخواه بر روی سیستم‌عامل را با سطح دسترسی بالا اجرا کند.
SupportAssistInstaller.exe  یک فایل اجرایی مستقل است که فقط در اولین نصب Dell SupportAssist Client Consumer  در رایانه‌های خانگی (Home PCs) از پورتال‌های Dell استفاده می‌شود. آسیب‌پذیری با شناسه‌ CVE-2023-43088 و شدت بالا 7.2 در Client BIOS نیز امکان  دسترسی مستقیم به حافظه پیش از را‌ه‌اندازی (pre-boot DMA) را برای مهاجم احراز هویت‌شده فراهم می‌آورد. در این آسیب‌پذیری مهاجم با دسترسی فیزیکی به سیستم می‌تواند کد دلخواه را بر روی آن اجرا کند.
محصولات تحت تأثیر
این آسیب‌پذیری محصولات Dell SupportAssist برای رایانه‌های شخصی (Home PCs) در SupportAssist Installer نسخه‌های 3.14.2.45116 و (BIOS) Precision 7865 Tower نسخه‌های قبل از 1.5.0را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Dell SupportAssist برای رایانه‌های شخصی (Home PCs) در SupportAssist Installer به نسخه‌های 3.14.2.49747 و (BIOS) Precision 7865 Tower به نسخه‌های 1.5.0 یا بالاتر اقدام نمایند.
* در صورتی که مشتریان نسخه قبلی SupportAssistinstaller.exe قبل از 3.14.2.45116 را داشته باشند، باید old installer را از محل دانلود حذف کنند.

منابع خبر:

[1] https://www.dell.com/support/kbdoc/en-us/000220677/dsa-2023-468-security-update-for-dell-supportass…
[2] https://www.dell.com/support/kbdoc/en-us/000218223/dsa-2023-377&nbsp;