اخیرا ایمیل‌هایی که در قالب تایید ارسال و تایید دریافت هستند، جهت گسترش یک Loader بدافزار به نام WailingCrab مورد استفاده قرار می‌گیرند. براساس تحقیقات صورت گرفته، خود بدافزار شامل اجزای مختلفی از جمله Loader، تزریق‌کننده دستور، دانلود‌کننده و backdoor می‌باشد. ارسال درخواست‌های موفقیت‌آمیز به سرورهای کنترل و فرمان C2(command-and-control) جهت اجرای مرحله بعدی حمله ضروری ‌است.
سرور C2 ابزار اصلی مهاجمان سایبری جهت راه‌اندازی و کنترل حملات می‌باشد. از C2 برای ارسال دستورات به بدافزار، توزیع برنامه‌ها، اسکریپت‌های مخرب و دیگر موارد استفاده می‌شود. بهره‌برداری فعال از این بدافزار که هم‌چنین با نام WikiLoader نیز شناخته می‌شود، برای اولین‌بار در دسامبر ۲۰۲۲ رصد شده‌بود. این بدافزار مخفی‌کاری را در اولویت کار خود قرار داده و در برابر اقدامات آنالیز و تحلیل مقاومت می‌کند. در راستای کاهش بیشتر شانس شناسایی، از وب‌سایت‌های قانونی و هک‌شده جهت ارتباطات اولیه کنترل و فرمان C2 استفاده می‌شود.
علاوه بر این، اجزای این بدافزار در پلتفرم‌های مشهوری مانند Discord ذخیره می‌شود. یکی از تغییرات قابل‌توجه آن، از اواسط سال 2023، استفاده از MQTT می‌باشد که یک پروتکل پیام‌رسانی جهت استفاده از C2 در سنسورهای کوچک و دستگاه‌های تلفن همراه است. این پروتکل تنها در موارد معدودی مورد استفاده قرار می گیرد. زنجیره‌های حمله با ایمیل‌های دارای پیوست‌های PDF شروع می‌شوند که این پیوست‌ها حاوی URLهایی هستند که با کلیک بر روی آن‌ها، یک فایل جاوا اسکریپت که جهت بازیابی و راه‌اندازی لودر WailingCra در Discord طراحی شده است، دانلود می‌شود.
Loader، مسئول اجرای یک ماژول تزریق دستور در مرحله بعد است که یک دانلودکننده را جهت استقرار backdoor فعال می‌سازد. در نسخه‌های قبلی، backdoor به عنوان یک پیوست در شبکه تحویل محتویDiscord  (Discord CDN) میزبانی می‌شد. با این حال، آخرین نسخه WailingCrab از قبل دارای مؤلفه backdoor رمزگذاری شده با AES است و در عوض به وسیله C2 یک کلید رمزگشایی را برای رمزگشایی backdoor دانلود می‌کند. backdoor، که به عنوان هسته بدافزار عمل می‌کند، جهت ایجاد پایداری در سیستم آلوده و برقراری ارتباط با سرور C2 با استفاده از پروتکل MQTT برای دریافت دستورات اضافی طراحی شده است. علاوه بر این، انواع جدیدتر backdoor بجای مسیر دانلود مبتنی بر Discord، از دستورات پوسته کد که به طور مستقیم از C2 به وسیله MQTT دریافت می‌شوند پیروی می‌کنند.
به گفته محققان: « اصراری که بر استفاده از پروتکل MQTT توسط WailingCrab وجود دارد نشان‌دهنده تلاش متمرکز بر پنهان‌کاری و فرار از تشخیص است. حتی در نسخه‌های جدیدتر، فراخوانی‌‌هایی که به discord وجود داشت (جهت بازیابی دستورات) را نیز حذف کرده‌اند که به اختفای بیشتر این بدافزار کمک می‌کند.»
Discord به یک انتخاب رایج برای مهاجمان سایبری که به دنبال میزبانی بدافزار هستند، تبدیل شده‌است و به همین دلیل این احتمال وجود دارد تا دانلود فایل از این پلتفرم تحت بررسی‌های دقیق‌تری قرار گیرد. بنابراین عجیب نیست که توسعه دهندگان WailingCrab به یک رویکرد جایگزین روی آورده‌اند.

توصیه‌های امنیتی
شرکت discord نیز به این موضوع بی‌توجه نبوده‌ و در ماه اخیر اذعان داشته است که: « Discord اواخر امسال به پیوندهای فایل موقت برای همه کاربران روی می‌آورد تا مانع از استفاده مهاجمان از سیستم تحویل محتوای آن شود.»

منبع خبر:

https://thehackernews.com/2023/11/alert-new-wailingcrab-malware-loader.html?m=1 

شرکت Malwarebytes اعلام کرده است که اخیراً حملات بدافزار Atomic Stealer (AMOS) با استفاده از زنجیره به‌روزرسانی جعلی به نام ClearFake، مرورگرهای MacOS و محصولات شرکت اپل را رصد کرده است. مرورگرهای تقلید شده عبارتند از سافاری و کروم. نکته حائز اهمیت در خصوص این حمله آن است که احتمالاً این اولین باری است که یکی از اصلی‌‌‌ترین کمپین‌‌‌های مهندسی اجتماعی که قبلاً مختص ویندوز بوده، نه تنها از نظر موقعیت جغرافیایی بلکه از نظر سیستم‌عامل نیز دچار انشعاب شده است. براساس گزارش شرکت Malwarebytes، AMOS از طریق یک زنجیره به‌روزرسانی جعلی مرورگر به نام ClearFake، وارد سیستم‌‌‌های کاربران Mac شده است. 

به‌روزرسانی جعلی مرورگر سافاری در کمپین ClearFake

کمپین بدافزار ClearFake اولین بار در ماه جولای شناسایی و نام‌گذاری شد و گمان می‌رود که از آن زمان به‌روزرسانی‌های متعددی را پشت سر گذاشته است. در آن زمان کاربران ویندوزی با یک پیام به‌‌‌روزرسانی جعلی کروم مواجه بودند که از طریق اسکریپت‌‌‌های جاوا در سایت‌‌‌های آسیب‌دیده، به نمایش درمی‌‌‌آمد. همچنین در ماه اکتبر 2023، آزمایشگاه Guardio یک توسعه قابل توجه برای این عملیات مخرب کشف کرد که از قراردادهای زنجیره هوشمند بایننس جهت پنهان کردن اسکریپت‌‌‌های مخرب خود استفاده می‌‌‌نمود. مهاجمان از طریق این راهکار که EtherHiding نامیده می‌‌‌شود، محتواهای هدفمند ویندوزی، از جمله بدافزارهای سرقت اطلاعات مانند RedLine، Amadey و Lumma را توزیع می‌‌‌کردند.
نخستین بار Atomic در آوریل 2023 توسط Trellix و Cyble کشف شد. براساس گزارش منتشر شده، این بدافزار تلاش می‌کند اطلاعات گذرواژه‌ها، کوکی‌ها و کارت‌های اعتباری ذخیره‌شده در مرورگرها، فایل‌های محلی، داده‌های بیش از 50 پسوند ارزهای دیجیتال و رمزهای عبور زنجیره‌کلید را سرقت کند. بدافزار AMOS در کنال‌‌‌های تلگرامی با حق استفاده ماهانه 1000 دلار آمریکا در حال خرید و فروش می‌‌‌باشد و به همین دلیل توزیع نسخه‌‌‌های مختلف آن به طرق مختلف در حال انجام است. یکی از راه‌‌‌های رایج این انتشار، توزیع بدافزار در قالب فایل‌‌‌های نصب برنامه‌‌‌های پراستفاده و یا کرک‌شده، نظیر آفیس مایکروسافت، می‌‌‌باشد. به دلیل تنوع بالای نسخه‌‌‌های توزیع شده، می‌‌‌توان AMOS را یکی از رایج‌ترین و خطرناک‌ترین حملات مهندسی اجتماعی حال حاضر نامید.

محصولات تحت تأثیر
براساس گزارش منتشر شده، به نظر می‌‌‌رسد که پس از ویندوز، سیستم عامل MacOS به صورت فزاینده‌‌‌ای تحت تاثیر حملات سایبری قرار گرفته است. حمله اخیر از مسیر به‌روزرسانی‌های جعلی مرورگرها، سالهاست که موضوعی رایج در بین حملات تحت ویندوز بوده است و اکنون وارد حوزه MacOS شده است.
ابزار Keychain Password، مدیریت رمزهای سیستم‌عامل macOS را برعهده دارد که رمزهای عبور WiFi، ورود به وب سایت، داده‌‌‌های کارت اعتباری و سایر اطلاعات رمزگذاری شده را ذخیره خواهد کرد. بنابراین به خطر افتادن آن می‌‌‌تواند خطرات جبران ناپذیری برای کاربران به دنبال داشته باشد. بررسی رشته‌های موجود در حمله اخیر نشان‌دهنده وجود تعدادی دستور برای استخراج داده‌های حساس مانند رمزهای عبور و هدف‌گیری فایل‌های اسناد، تصاویر، فایل‌های کیف پول رمزنگاری و کلیدها می‌‌‌باشد.

توصیه‌های امنیتی
اولین بار شرکت Malwarebytes در ماه سپتامبر متوجه شده بود که AMOS از مسیر انتشار تبلیغات جعلی در برنامه infodealer، قربانیان را فریب می‌‌‌دهد تا آن را دانلود کنند. بنابراین به نظر می‌‌‌رسد مهاجمان این کمپین در حال یافتن راه‌‌‌های بیشتری برای هدف قرار دادن قربانیان هستند. کاربران باید مراقب دانلودها به خصوص درخواست‌های جعلی به‌‌‌روزرسانی مرورگر در هنگام بازدید از وب‌سایت‌ها باشند. لازم به ذکر است که حتی پس از گذشت چند ماه از کشف و گزارش‌های مربوط به Atomic، تقریباً 50 درصد از موتورهای AV در VirusTotal، قادر به شناسایی محتواهای مرتبط با آن نیستند. کاربران محصولات اپل باید دقت نمایند که تمام به‌روزرسانی‌های مرورگر سافاری و یا سایر مرورگرها،  از طریق به‌روزرسانی نرم‌افزار macOS  و یا در خود مرورگر انجام می‌‌‌گیرد. بنابراین، در صورت مشاهده هرگونه درخواست در خصوص دانلود به‌روزرسانی‌های مرورگر در وب‌سایت‌های متفرقه، باید آن‌ها را نادیده بگیرند.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/atomic-stealer-malware-strikes-macos-via-fake-browse…
[2] https://www.darkreading.com/attacks-breaches/threat-actor-using-fake-browser-updates-to-distribute-…
[3] https://cybernews.com/security/clearfake-malware-mac-os-targeted/#google_vignette

آسیب‌پذیری با شناسه  CVE-2023-2449 امکان بازنشانی گذرواژه بدون احراز هویت در افزونه UserPro وردپرس را فراهم می‌آورد و به مهاجمان اجازه می‌دهد تا گذرواژه‌های کاربران را بدون نیاز به احراز هویت بازنشانی کنند و از یک تابع داخلی وردپرس جهت بازنشانی گذرواژه‌ها استفاده می‌کند و هر کاربری می‌تواند با ارسال یک درخواست HTTP ساده، گذرواژه کاربر دیگر را بازنشانی کند. مهاجمان می‌توانند از آسیب‌پذیری CVE-2023-2449 به روش‌های مختلفی بهره‌برداری کنند که برخی از روش‌های احتمالی عبارتند از:
•    به‌دست‌آوردن دسترسی به حساب‌های کاربری حساس، مانند حساب‌های مدیران.
•    سرقت اطلاعات شخصی، مانند گذرواژه‌، اطلاعات شخصی و احرازهویت و یا دیگر اطلاعات حساس.
•    ایجاد تغییرات در سیستم، مانند نصب نرم‌افزار مخرب یا تغییر تنظیمات.
•    اجرای حملاتAPT.

جهت غیرفعال کردن عملکرد بازنشانی رمز عبور UserPro، باید فایل userpro.php  را ویرایش کنید. در این فایل، خط زیر را بیابید:
$userpro->user_actions->add_action('userpro_reset_password', 'userpro_reset_password');
این کد، عملکرد بازنشانی رمز عبور را فعال می‌کند؛ همچنین جهت غیرفعال کردن این عملکرد، کد مذکور را حذف کنید. پس از ویرایش فایل userpro.php، باید افزونه UserPro را مجدداً فعال کنید.

محصولات تحت تأثیر
این آسیب‌پذیری بر نسخه 5.1.1 و قبل‌تر افزونه  UserPro وردپرس تأثیر می‌گذارد.

توصیه‌های امنیتی
سازمان‌هایی که از افزونه UserPro استفاده می‌کنند، باید هر چه سریع‌تر آن را به نسخه 5.1.4 یا بالاتر ارتقاء دهند تا در برابر تهدیدات احتمالی آن محافظت شوند. شایان ذکر است که اگر به‌روزرسانی افزونه UserPro امکان‌پذیر نیست،  باید آن را غیرفعال کرد.
علاوه بر این، سازمان‌ها باید از یک اسکنر آسیب‌پذیری جهت شناسایی افزونه‌های آسیب‌پذیر و یک سیستم مدیریت آسیب‌پذیری (VMS) جهت مدیریت و اولویت‌بندی آسیب‌پذیری‌ها استفاده کنند.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-24949
[2]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/userpro/userpro-511-insecu…
[3]https://www.linux-magazin.de/dfn-cert-advisories/dfn-cert-2023-2449-net-core-mehrere-schwachstellen…

یک بدافزار مخرب به نام"InfectedSlurs"  کشف شده است که از طریق بهره‌برداری از دو آسیب‌پذیری روز صفر که یکی مربوط به تولیدکننده NVR و دیگری مربوط به یک روتر بی‌سیم می‌باشد، منجر به نفوذ در روترها، دستگاه‌های ضبط ویدیو (NVR) و حملات انکارسرویس توزیع‌شده (DDoS) خواهد شد. این بدافزار مخرب که ابتدا در ماه اکتبر 2023 کشف شد، احتمالاً جهت سوءاستفاده‌های مالی بکار گرفته می‌شود و به روترهای LAN بی‌سیم محبوب در میان کاربران خانگی و هتل‌ها حمله می‌کند.
شرکت سایبرایمن، تولیدکننده دستگاه NVR، اعلام کرد که در تلاش جهت رفع این نقص امنیتی در دستگاه‌های خود می‌باشد؛ تولیدکننده روتر نیز تصریح کرده که به‌روزرسانی‌های امنیتی خود را در ماه دسامبر 2023 منتشر خواهد کرد.
شایان ذکر است که این بدافزار نوعی Mirai تغییر یافته به نام JenX می‌باشد و تعداد بالایی از ربات‌های تلگرامی نیز به این بدافزار مرتبط می‌باشند. 

توصیه‌های امنیتی
•    بکارگیری فناوری  فریب دهنده‌ی هانی‌پات در استراتژی‌های امنیت سایبری جهت تشخیص زودهنگام تهدیدات و اقدام به موقع جهت رفع آن‌ها.
•    توجه به اهمیت تغییر رمز عبور پیش‌فرض دستگاه‌ها.

منبع خبر:

https://www.akamai.com/blog/security-research/new-rce-botnet-spreads-mirai-via-zero-days

یک آسیب‌پذیری با شناسه CVE-2023-48796 و شدت بالا درApache  شناسایی شناسایی شده است که امکان افشای اطلاعات حساس را برای مهاجم فراهم می‌آورد. این آسیب‌پذیری که در Apache DolphinScheduler کشف شد، منجر به آن خواهد شد که اطلاعات حساس در اختیار کسانی قرار گیرد که مجاز به دسترسی به آن‌ اطلاعات نیستند و از این طریق محرمانگی داده‌ها را تحت تأثیر خود قرار می‌دهد. اطلاعاتی که در معرض دسترس عوامل غیرمجاز قرار می‌گیرد شامل داده‌های حساسی مانند اعتبارنامه‌های پایگاه‌داده است. 

محصولات تحت تأثیر
این آسیب‌پذیری نسخه‌ 3.0.0 قبل از نسخه 3.0.2 محصول Apache شامل Apache DolphinScheduler را تحت تأثیر خود قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Apache DolphinScheduler به نسخه 3.0.2 اقدام نمایند. کاربرانی که نمی‌توانند به نسخه 3.0.2 ارتقا دهند، می‌توانند متغیر محیطی `MANAGEMENT_ENDPOINTS_WEB_EXPOSURE_INCLUDE=health,metrics,prometheus` را برای حل این مشکل تنظیم کنند. یا بخش زیر را به فایل«application.yaml»  اضافه کنند:

```
management:
  endpoints:
    web:
      exposure:
        include: health,metrics,prometheus
```

منبع خبر:

https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo

براساس تحقیقات به عمل آمده بر روی Google Workspace و Google Cloud، به طور گسترده روشی جهت نفوذ به شبکه کشف شده است که منجر به انجام حملات و در پی آن سرقت اطلاعات و نصب باج‌افزار خواهد شد. GCPW یکی از ابزار های اصلی Google جهت کنترل سیستم‌ها و احراز هویت از روش SSO است. دوگانگی درعملکرد GCPW موجب اختلال در پروتکلGCWP  خواهد شد که این اختلال بر روی Cloning Machineهایی که دارایGCPW  با رمز یکسان می‌باشند رخ می‌دهد. هکرها با استفاده از این اختلال، سیستم احراز هویت چند عاملی را دور زده و با درخواست توکن امنیتی، راه را برای نفوذ خود به حساب‌های Google Workspace و Google Cloud کاربران هموار می‌سازند.
ادغام و یکپارچه‌سازی GCPW با اکوسیستم Google یک اختلال امنیتی بسیارخطرناک را فاش می‌سازد که هکرها بدین وسیله می‌توانند درخواست توکن امنیتی غیر مجازی را به ثبت برسانند. تحقیقات اهمیت بروزرسانی توکن OAuth 2.0 را نشان می‌دهند، چرا که این موضوع بخشی از GCPW می‌باشد که به هکرها این امکان را خواهد داد تا با درخواست توکن امنیتی احراز هویت چند عاملی را دور بزنند.

توصیه‌های امنیتی
1-    سرمایه‌گذاری بر روی راه‌حل‌های پیشرفته مانند GravityZone XDR.
2-    برنامه‌ریزی و توسعه روش‌های مؤثر جهت واکنش مناسب به حوادث امنیتی

منبع خبر :

https://cybersecuritynews.com/hackers-exploit-google-workspace/amp

یک آسیب‌پذیری بحرانی با شناسه CVE-2023-4149 و شدت 9.8 در سیستم CVSS 3.x در WAGO Industrial Managed Switch کشف شده است که یک چالش جدی برای سیستم‌های کنترل صنعتی (ICS) و محیط‌های دارای زیرساخت حساس محسوب می‌شود. یک مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند دستورات دلخواه را به سیستم تزریق کرده و کنترل کامل دستگاه را به دست گیرد و دستورات را با سطح دسترسی روت اجرا کند.
آسیب‌پذیری مذکور به مهاجم اجازه می‌دهد تا از راه دور سوئیچ را تحت کنترل خود در آورد که این امر می‌تواند منجر به ایجاد اختلال در عملیات، سرقت اطلاعات حساس و حتی آسیب فیزیکی به تجهیزات متصل شود. این آسیب‌پذیری در رابط مدیریتی تحت وب WAGO Industrial Managed Switch وجود دارد. مهاجم می‌تواند با بهره‌برداری از آن، درخواست‌های کاربر را تغییر داده تا دستورات دلخواه را با سطح دسترسی root بر روی دستگاه اجرا نماید و در نتیجه کنترل کامل عملیات دستگاه را در دست گیرد. پیامدهای این آسیب‌پذیری می‌تواند نگران‌کننده باشد زیرا نقش این دستگاه در سیستم‌های کنترل صنعتی بسیار مهم است و هرگونه دسترسی غیر مجاز به آن منجر به فاجعه خواهد شد.

محصولات تحت تاثیر
در سوئیچ‌های صنعتی مدل 0852-0602 و 0852-0603 که نسخه firmware  آن‌ها پایین‌تر از 1.0.6.S0 می‌باشد و مدل  0852-1605 که نسخه firmware آن پایین‌تر از 1.2.5.S0 می‌باشد، این آسیب‌پذیری قابل بهره‌برداری است.

توصیه‌های امنیتی
•    دسترسی به دستگاه را در سطح شبکه محدود نمایید.
•    دستگاه را مستقیماً به اینترنت متصل نکنید.
•    کاربران مدل‌های 0852-0602 و 0852-0603 باید به firmware نسخه 1.0.6.S0 به‌روزرسانی نمایند. تمام کاربران مدل 0852-1605 نیز باید به firmware نسخه 1.2.5.S0 به‌روزرسانی نمایند.

منابع خبر:

[1] https://cert.vde.com/en/advisories/VDE-2023-037/
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-4149
[3] https://vulnera.com/newswire/critical-security-flaw-detected-in-wago-industrial-managed-switch

به گفته محققان امنیتی، به دلیل وجود آسیب‌پذیری به شناسه CVE-2023-37924 در پلتفرم Apache Submarine، هکرها قادر هستند که حمله تزریق کد در پایگاه داده (SQLI) را بر روی نسخه‌های آسیب‌پذیر این محصول اجرا کنند. این پلتفرم در بین متخصصان علوم داده، جهت نظارت بر اجرای فرآیندهایی مانند استخراج اطلاعات در چرخه عمر(Lifecycle) یک پروژه یادگیری ماشین(ML)، محبوبیت وکاربرد فراوانی دارد. با همین دلیل، آسیب‌پذیری Apache Submarine به هدفی جذاب برای هکرها جهت سرقت و دسترسی به اطلاعات و مکانیزم‌های به کار رفته در پروژه‌های یادگیری ماشین تبدیل شده است. در حقیقت، هکرها از طریق اجرای حمله SQLI قادرند فرایند احرازهویت و ورود را دور زده و به صورت احرازهویت نشده به اطلاعات موجود در پایگاه داده این پلتفرم دسترسی پیدا کنند. به گفته محققان امنیتی، این آسیب‌پذیری هنگامی رخ می‌دهد که مهاجم در زمان ارسال درخواست به  mybatis framework، از دستور like استفاده می‌کند. 

محصولات تحت تأثیر
به گفته تیم پشتیبانی این پلتفرم، تمام کاربرانی که از نسخه 0.7.0 و نسخه‌های قبل‌تر از آن استفاده می‌کنند در معرض این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود هر چه سریعتر Apache Submarine خود را به نسخه 0.8.0 به‌روزرسانی کنند. در این نسخه، علاوه بر رفع آسیب‌پذیری مذکور، جهت اطمینان از امنیت و صحت فرآیند احراز هویت و دسترسی به محیط کاربری این پلتفرم، از ساز و کار OpenID در چهارچوب OAuth 2.0 استفاده شده است.

منابع خبر:

[1] https://issues.apache.org/jira/browse/SUBMARINE-1361
[2] https://meterpreter.org/cve-2023-37924-critical-sql-injection-vulnerability-in-apache-submarine/
[3] https://github.com/apache/submarine/pull/1037 
[4]https://submarine.apache.org/zh-cn/docs/next/designDocs/wip-designs/security-implementation/

ownCloud  یک نرم‌افزار Open Source می‌باشد که جهت ذخیره‌سازی اطلاعات در یک فضای شخص ثالث مورد استفاده قرار می‌گیرد. اخیرا سه آسیب‌پذیری امنیتی بحرانی در این نرم‌افزار کشف شده است که به طور بالقوه می‌توان گذرواژه‌های مدیر و اعتبار سرور ایمیل را فاش کرد. ownCloud یک انتخاب محبوب برای مشاغل، مؤسسات آموزشی، سازمان‌های دولتی و افرادی است که حریم خصوصی را در اولویت قرار می‌دهند. این نرم‌افزار به کاربران اجازه می‌دهد تا فایل‌ها را از طریق یک پلتفرم خود میزبانی شده مدیریت و به اشتراک بگذارند، در نتیجه جایگزینی برای ارائه‌دهندگان ذخیره‌سازی ابری شخص ثالث فراهم می‌کند. این نرم‌افزار 200000 نصب شده است، 600 مشتری سازمانی و 200 میلیون کاربر دارد و از چندین کتابخانه و مؤلفه تشکیل شده است که با هم کار می‌کنند تا عملکردهای مختلفی را در زمینه ذخیره‌سازی ابری ارائه دهند. تیم توسعه نرم‌افزار، سه بولتن امنیتی صادر کرد که به کاربران در خصوص آسیب‌پذیری‌هایی که می‌تواند به طور جدی یکپارچگی ownCloud را به خطر بیندازد، هشدار دهد.

•    آسیب‌پذیری که با شناسه CVE-2023-49103
اولین آسیب‌پذیری با شناسه CVE-2023-49103 و شدت بحرانی 10، می‌تواند جهت سرقت اطلاعات کاربری و اطلاعات پیکربندی در بسته‌های نرم‌افزاری مورد بهره‌برداری قرار گیرد. این برنامه graphapi بر اساس یک کتابخانه GetPhpInfo.php از شخص ثالث استفاده و یک URL فراهم می‌کند. هنگام دسترسی به این URL، جزئیات پیکربندی محیط PHP (phpinfo) به نمایش درآمده و این اطلاعات شامل تمام متغیرهای محیط وب‌سرور می‌شود. 

توصیه امنیتی
•    حذف یک فایل خاص:

owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php 

•    غیرفعال کردن تابع "phpinfo" در containerهای Docker و تغییر رمزهای مورد ‌استفاده
 
•    آسیب‌پذیری که با شناسه CVE-2023-49105
دومین آسیب‌پذیری با شناسه CVE-2023-49105 و شدت بحرانی 9.8، یک مشکل در ownCloud نسخه‌های قبل از 10.13.1 در ماژول owncloud/core به‌شمار می‌آید. اگر نام کاربری قربانی شناخته شده باشد و قربانی هیچ کلید امضا‌کننده‌ای پیکربندی نکرده باشد، مهاجم قادر به دسترسی، اصلاح یا حذف هر فایلی بدون نیاز به احراز هویت خواهد بود. این اتفاق به دلیل قبول شدن URLهای پیش‌امضاء‌شده حتی زمانی که هیچ کلید امضاکننده‌ای برای صاحب فایل‌ها پیکربندی نشده باشد، رخ می‌دهد. 

توصیه امنیتی
برای رفع این آسیب‌پذیری در ownCloud، توصیه می‌شود که اگر هیچ کلید امضا (signing key) برای کاربر پیکربندی نشده باشد، استفاده از URLهای پیش‌امضاء‌شده (pre-signed URLs) را انکار کنید. به عبارت دیگر، اگر کاربر مشخصی هنگام استفاده از ownCloud از کلید امضا استفاده نکرده باشد، این سرویس باید اجازه دسترسی به فایل‌ها از طریق URLهای پیش‌امضاء‌شده را به او ندهد. این تدابیر اضافی باعث کاهش ریسک آسیب‌پذیری و تقویت امنیت سیستم ownCloud می‌شود.

•    آسیب‌پذیری که با شناسه CVE-2023-49104
سومین آسیب‌پذیری با شناسه CVE-2023-49105 و شدت 8.7. در ownCloud نسخه owncloud/oauth2 پایین‌تر از 0.6.1، کشف شده است و هنگامی رخ خواهد داد که گزینه Allow Subdomains فعال است. مهاجم قادر است یک URL تغییر یافته را که از اعتبارسنجی گذشته‌است به آن بفرستد و نتیجه‌اش این می‌باشد که مهاجم می‌تواند بازگردانی Top Level Domain توسط خودش را راه‌اندازی کند. 

توصیه امنیتی
•    تقویت کد اعتبارسنجی
•    غیرفعال کردن گزینه "Allow Subdomains" به عنوان یک راه‌حل موقت

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2023-49103
[2]https://nvd.nist.gov/vuln/detail/CVE-2023-49104
[3]https://nvd.nist.gov/vuln/detail/CVE-2023-49105
[4]https://vulnera.com/newswire/critical-security-flaws-in-owncloud-file-sharing-app-could-expose-admi…
[5]https://isp.page/news/critical-bug-in-owncloud-file-sharing-app-exposes-admin-passwords/#gsc.tab=0

توکن‌های وب JSON (JWT) یک ابزار حیاتی جهت برقراری یک ارتباط امن و همچنین تبادل داده‌ها بشمار می‌آید. یک آسیب پذیری جدید با شناسه CVE-2023-48238 و امتیاز CVSS 7.5 در کتابخانه json-web-token برای Node.js کشف شده است که امکان انجام حملات الگوریتمی JWT را به مهاجم خواهد داد. این آسیب‌پذیری ناشی از روش‌های کتابخانه‌ای برای پردازش الگوریتم مورد استفاده در تأیید امضای JWT می‌باشد. 
 

این مشکل در خط 86 فایل 'index.js' وجود دارد، جایی که الگوریتم برای تأیید امضا به‌طور مستقیم از توکن JWT استخراج می‌شود. مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند یک توکن JWT مخرب با الگوریتم HS256 ایجاد کند، حتی اگر برنامه هدف از یک الگوریتم متفاوت استفاده کند. این توکن تقلبی، هنگام امضای آن با کلید عمومی RSA برنامه هدف، ممکن است برنامه را فریب داده و منجر به اعطاء مجوز کد به مهاجم شود. تأثیر این آسیب‌پذیری نگران‌کننده است زیرا کتابخانه json-web-token  با بیش از 4000 دانلود هفتگی و بیش از 2700 مخزن در GitHub که به آن وابسته‌اند، به‌طور گسترده در حال استفاده است. برنامه‌هایی که از الگوریتم RS256 استفاده می‌کنند در معرض این حمله قرار دارند.

توصیه‌های امنیتی
1. کتابخانه json-web-token برای Node.js را به نسخه به‌روزرسانی‌شده ارتقاء دهید. 
2. توصیه می‌شود در توکن‌های JWT از کتابخانه json-web-token، الگوریتم‌های تأیید امضای قابل اعتماد استفاده و ازبکارگیری الگوریتم‌های ناامن جلوگیری شود.
3. کدهای خود را با دقت بررسی کنید تا مطمئن شوید که توکن‌ها به‌درستی اعتبارسنجی و پردازش می‌شوند. خصوصاً خطوطی که به بسط الگوریتم از توکن مربوط می‌شوند، باید به دقت بررسی شوند.
5. ابزارها و فرآیندهای ارزیابی امنیتی را بر روی سیستم و اپلیکیشن خود اجرا کنید تا به‌طور مداوم آسیب‌پذیری‌ها را شناسایی و رفع کنید.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2023-48238