QNAP گزارش چند آسیب‌پذیری را در QuMagie منتشر کرد. این  آسیب‌پذیری‌ها که در 11 نوامبر 2023 منتشر شده‌اند، به شرح زیر می‌باشند:
آسیب‌پذیری با شناسه CVE-2023-39295 و شدت 8.8 که امکان تزریق فرمان سیستم‌عامل (OS command injection) را برای مهاجم احراز هویت شده از طریق شبکه فراهم می‌آورد.
آسیب‌پذیری با شناسه CVE-2023-41285 و شدت 7.4 و آسیب‌پذیری با شناسه CVE-2023-41284 و شدت 7.4 که امکان تزریق SQL (SQL injection) را برای مهاجم احراز هویت شده از طریق شبکه به وجود می‌آورد.
QuMagie یک برنامه مدیریت عکس QTS است که از هوش مصنوعی برای کمک به مدیریت عکس‌ها و ویدیوهای ذخیره شده در QNAP NAS خود استفاده می‌کند. QuMagie تشخیص چهره و تشخیص اشیا را ادغام می‌کند تا سازماندهی عکس‌ها و فیلم‌ها به سادگی انجام شود.

محصولات تحت تأثیر
این آسیب‌پذیری QuMagie نسخه ...2.1 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء QuMagie  به نسخه 2.1.4 و بالاتر (آخرین نسخه) اقدام نمایند.
شیوه به‌روزرسانی در QuMagie به صورت زیر است:
•    به عنوان مدیر (administrator) به سیستم‌عامل QNAP خود وارد شوید.
•    برنامه App Center را باز کرده و سپس کلیک کنید.
•    یک کادر جستجو ظاهر می شود. "QuMagie" را تایپ کرده و جستجو کنید.
•    سپس روی Update کلیک کنید.
•    یک پیام تأیید ظاهر می‌شود.
•    توجه: اگر QuMagie شما از قبل به‌روز باشد، دکمه Update در دسترس نیست.
•    روی OK کلیک کنید.
•    برنامه به‌روز می‌شود.

منبع خبر:

[1] https://www.qnap.com/en/security-advisory/qsa-23-50

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-47004 در  RedisGraph کشف شده است که به‌دلیل سرریز بافر امکان اجرای کد دلخواه (از طریق code logic) را برای مهاجم احراز هویت شده فراهم می‌آورد.
Redis یک حافظه ذخیره‌سازی منبع باز است که به‌عنوان پایگاه‌داده، حافظه پنهان (cache)، موتور جریان (streaming engine) و واسط پیام (message broker) استفاده می‌شود.
RedisGraph اولین پایگاه‌داده Property Graph قابل پرسش است که از ماتریس‌های پراکنده (sparse matrices) برای نمایش ماتریس مجاورت و جبر خطی برای پرس و جو در نمودارها استفاده می‌کند.

محصولات تحت تأثیر
این آسیب‌پذیری محصول Redis شامل RedisGraph نسخه 2.0  تا 2.12.8 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء RedisGraph به نسخه‌ 2.12.9 اقدام نمایند.

منبع خبر:

[1] https://github.com/RedisGraph/RedisGraph/issues/3178 

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-46851 و شدت 8.8 در  Apache Allura شناسایی شده است. در این آسیب‌پذیری به دلیل اینکه Allura Discussion و Allura Forum در وارد کردن (importing) مقادیر URL مشخص شده در پیوست‌ها (attachments) محدودیتی اعمال نمی‌کنند، مدیران پروژه می‌توانند به راحتی عمل ایمپورت کردن را انجام دهند. در نتیجه Allura می‌تواند به اطلاعات حساسی از جمله فایل‌های محلی دسترسی پیدا کند و آن‌ها را بخواند. دسترسی به فایل‌های داخلی می‌تواند منجر به سوء استفاده‌های دیگری از جمله سرقت سشن یا اجرای کد از راه دور شود.
 

محصولات تحت تأثیر
این آسیب‌پذیری Apache Allura نسخه‌های 1.0.1 تا 1.15.0را تحت تأثیر قرار می‌دهد.
 

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسبت به ارتقاء Apache Allura به نسخه‌ 1.16.0 اقدام نمایند.
 

• اگر  قادر به ارتقاء Apache Allura نبوده و یا مایل به داشتن حداکثر امنیت در Apache Allura هستید، در فایل پیکربندی ini. تنظیمات زیر را انجام دهید:

disable_entry_points.allura.importers = forge-tracker, forge-discussion

همچنین جهت نصب وابستگی‌های به روز شده (updated dependencies)، دستور زیر را اجرا کنید:

pip install -r requirements.txt --no-deps --upgrade --upgrade-strategy=only-if-needed

سپس paster ensure_index development.ini در Allura dir را اجرا کنید.
 

•  این نسخه Python  نسخه‌های 3.8 تا 3.11 را پشتیبانی می‌کند. در صورت تغییر پایتون به نسخه جدید، باید یک محیط جدید مجازی پایتون بسازید و pip install ... را در آن اجرا کنید و سپس از آن برای اجرای Allura استفاده کنید.
•  اگر از داکر استفاده می‌کنید، ایمیج allura را دوباره بسازید و کانتینرها را دوباره راه‌اندازی کنید.

منبع خبر:

[1] https://allura.apache.org/posts/2023-allura-1.16.0.html

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-42361 در محصولات Jira Server و Jira Data Center شرکت  Atlassianشناسایی شده است. این آسیب‌پذیری یک نقص Local File Inclusion (LFI) در افزونه Better PDF Exporter در سرور Jira و مرکز داده Jira عنوان شده است. این افزونه با هزاران نصب از برجسته‌ترین افزونه‌ها در بازار Atlassian است. در Jira Server یا Jira Data Center، یک تصویر جعلی باعث ایجاد نقص در فرآیند اکسپورت کردن فایل‌های PDF توسط افزونه Better PDF Exporter می‌شود. این نقص به کاربران غیرمجاز اجازه می‌دهد تا علاوه بر دسترسی به فایل‌های دلخواه، تأثیرات دیگری نیز بر روی سیستم هدف بر جای بگذارند. همچنین، این آسیب‌پذیری ابزاری را برای مهاجم فراهم می‌کند تا برنامه‌های کاربردی وب را در شبکه داخلی شناسایی کند و منجر به حمله جعل درخواست سمت سرور یا Server-side request forgery (SSRF)  شود.
آسیب‌پذیریLocal File Inclusion (LFI)  به مهاجم این اجازه را می‌دهد که از طریق مرورگر، فایل‌های خود را در سرور بارگذاری کند. نقص LFI زمانی به وجود می‌آید که وب‌سایت، ورودی‌ها را به درستی اعتبارسنجی نکرده و در نتیجه مهاجم قادر است ورودی را دستکاری کند و کاراکتر‌های پیمایش مسیر را در آن قرار دهد.
از جمله تأثیرات مخرب این آسیب‌پذیری می‌توان به موارد زیر اشاره کرد:
-    حملات LFI و SSRF
-    افزایش امتیازات سیستمی و سطوح دسترسی
-    افشای اطلاعات حساس
-    دور زدن لیست سفید IP (IP whitelisting) و شناسایی شبکه

محصولات تحت تأثیر
این آسیب‌پذیری محصولات  Atlassian شامل Jira Server و Jira Data Center نسخه‌های 10.3.0 و قبل‌تر را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Jira Server و Jira Data Center به نسخه 11.0.0 یا نسخه جدیدتر اقدام نمایند.

منبع خبر:

[1]‌ https://marketplace.atlassian.com/apps/5167/better-pdf-exporter-for-jira?tab=versions&hosting=datac…

آسیب‌پذیری با کد شناسه CVE-2023-29552 و امتیاز CVSS 7.5 یک آسیب‌پذیری انکار سرویس است که می‌تواند برای اجرای حملات گسترده تشدید انکارسرویس استفاده شود. پروتکل مکان سرویس(SLP) یک آسیب‌پذیری انکارسرویس را دربر دارد که می‌تواند به یک مهاجم  احرازهویت نشده از راه دور اجازه دهد خدمات را ثبت کند و از ترافیک UDP جعلی برای انجام یک حمله انکار سرویس (DoS) با ضریب تقویت قابل توجهی استفاده کند. SLP پروتکلی است که به سیستم‌هایی که در یک شبکه‌ محلی مشترک(LAN) هستند امکان تشخیص و برقراری ارتباط با یکدیگر را می‌دهد.
جزئیات دقیق پیرامون ماهیت بهره‌برداری از این نقص شدید امنیتی در حال حاضر ناشناخته است، اما Bitsight قبلاً هشدار داده بود که این نقص می تواند برای DoS با ضریب تقویت بالا مورد سوءاستفاده قرار گیرد. این ضریب تقویت بسیار بالا، به یک مهاجم با دسترسی کمتری به منابع، اجازه می دهد تا از طریق یک حمله تقویتی بازتابی DoS تاثیر قابل توجهی بر روی یک شبکه هدفمند یا سرور داشته باشد.

با توجه به حملات دنیای واقعی که این نقص را به کار می‌گیرند، سازمان‌ها باید اقدامات کاهشی لازم را از جمله غیرفعال کردن سرویس SLP در سیستم‌های در حال اجرا در شبکه‌های غیرقابل اعتماد برای ایمن کردن شبکه‌های خود در برابر تهدیدات احتمالی اعمال کنند.

 پلتفرم‌های تحت تاثیر
VMware این آسیب‌پذیری را بررسی کرده و مشخص کرده است که نسخه‌های ESXi که در حال حاضر پشتیبانی می‌شوند (ESXi 7.x, 8.x) تحت تأثیر قرار نمی‌گیرند. با این حال، نسخه هایی که به پایان پشتیبانی عمومی (EOGS) رسیده اند، مانند 6.7 و 6.5، تحت تأثیر این آسیب‌پذیری قرار گرفته اند.
طبق دستورالعمل‌های قبلی، VMware توصیه می‌کند که بهترین گزینه برای رسیدگی به این نقص، ارتقا به یک نسخه پشتیبانی‌شده است که تحت تأثیر آسیب‌پذیری قرار نگیرد. ESXi 7.0 U2c و جدیدتر، و ESXi 8.0 GA و جدیدتر، ضمن حصول اطمینان از اینکه که سرویس SLP به‌طور پیش‌فرض غیرفعال و توسط فایروال فیلتر شده‌باشد. مدیران ESXi ‌همچنین باید بررسی کنند که هاست ESXi در معرض شبکه های نامعتبر قرار نگرفته‌باشند و همچنین SLP را طبق دستورالعمل های KB76372 غیرفعال کنند.
 
منابع

Microsoft گزارش چندین آسیب‌پذیری در مرورگر Edge (Chromium-based) را منتشر کرد. این  آسیب‌پذیری‌ها که در تاریخ 9 و 10 نوامبر 2023 منتشر شده‌اند، به شرح زیر می‌باشند:
آسیب‌پذیری با شناسه CVE-2023-36014 و شدت 7.3 که به واسطه آن مهاجم قادر است کد دلخواه خود را از راه دور در سیستم هدف اجرا کند.
آسیب‌پذیری با شناسه CVE-2023-36024 و شدت 7.1 و آسیب‌پذیری با شناسه CVE-2023-36027 و شدت 7.1 که امکان افزایش امتیاز و سطح دسترسی (Elevation of Privilege) را برای مهاجم به وجود می‌آورد.

محصولات تحت تأثیر
این آسیب‌پذیری‌ها Microsoft Edge (Chromium-based) نسخه‌های قبل از 119.0.2151.58 و قبل از 118.0.2088.102 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Microsoft Edge (Chromium-based) به نسخه‌های وصله شده اقدام نمایند.

منابع خبر:

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36014
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36024
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36027

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-41036 و شدت 7.8 در Macvim (یک ویرایشگر متن برای MacOS) شناسایی شده است. این آسیب‌پذیری امکان اجرای کد دلخواه با سطح دسترسی ریشه را برای مهاجم فراهم می‌آورد. Macvim از مکانیزم IPC ناامن استفاده می‌کند که می‌تواند منجر به افزایش سطح دسترسی شود. اگر MacVim به‌ عنوان ریشه (root) اجرا ‌شود، یک برنامه مخرب می‌تواند جهت افزایش امتیاز و سطح دسترسی از این آسیب‌پذیری بهره‌برداری کند.
اشیاء توزیع شده (distributed objects) مفهومی است که توسط اپل معرفی شده است و به یک برنامه اجازه می‌دهد یک رابط را در اختیار برنامه دیگری قرار دهد. هر روشی که از طریق این رابط‌ها در معرض دید قرار می‌گیرد، برای هر فرآیند دیگری در سیستم قابل استفاده است.
 باید مراقب بود از MacVim برای ویرایش فایل‌هایی که نیاز به امتیازات ریشه دارند استفاده نشود.

محصولات تحت تأثیر
این آسیب‌پذیری، Macvim نسخه‌های قبل از 178 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Macvim به نسخه 178 اقدام نمایند.

منبع خبر:

[1] https://github.com/macvim-dev/macvim/security/advisories/GHSA-9jgj-jfwg-99fv

مایکروسافت مشکلی که باعث ظاهر شدن صفحات آبی و خطاهای بوت در ماشین‌های مجازی ویندوز سرور 2022 روی میزبان‌های VMware ESXi شده بود، شناسایی واعلام کرده است. مدیران ویندوز اعلام کرده‌اند که پس از نصب به‌روزرسانی اکتبر 2023 با شناسه KB5031364، با مشکل در راه‌اندازی ماشین‌های مجازی (VM) مواجه شده‌اند. اکنون، شرکت مایکروسافت این مشکلات را تأیید کرده و اعلام کرده است که این مشکلات تنها بر روی میزبان‌های VMware ESXi تأثیر گذاشته‌اند که مدیران به‌روزرسانی منتشر شده را به عنوان بخشی از "پچ " نصب کرده‌اند.
"ماشین‌های مجازی تحت تأثیر یک خطا با یک صفحه آبی و کد توقف: PNP DETECTED FATAL ERROR مواجه خواهند شد". این مشکل تنها بر میزبان‌های VMware ESXi با پیکربندی زیر تأثیر می‌گذارد:
•    پردازنده فیزیکی  AMD Epyc
•    فعال بودن "Expose IOMMU to guest OS" در تنظیمات VMware برای ماشین مجازی.
•    فعال بودن "Enable Virtualization Based Security" در ویندوز سرور 2022.
•    فعال بودن "System Guard Secure Launch" در ویندوز سرور 2022.
تیم مهندسی مایکروسافت در حال کار بر روی رفع این مشکلات راه‌اندازی مجدد و مشکلات بوت ماشین‌های مجازی است، با احتمال آنکه رفع ممکن است در هفته آینده اعمال شود.

راه حل های موقت 
برای حل این مشکل شناخته‌شده، مدیران می‌توانند گزینه "Expose IOMMU to guest OS" را در تنظیمات ماشین‌های مجازی تحت تأثیر غیرفعال کنند. با این حال، این رفع موقت تنها در برخی از سیستم‌ها کار می‌کند، زیرا برخی محیط‌ها نیاز دارند که این گزینه فعال باشد.
مدیران ویندوز با دستگاه‌های تحت تأثیر همچنین گزارش داده‌اند که حذف بروزرسانی مشکل را حل خواهد کرد (هرچند همچنان تمام به‌روزرسانی‌های امنیتی را که این بروزرسانی ارائه می‌دهد را حذف می‌کند) و این اجازه را می‌دهد که ماشین‌های مجازی بدون هیچ مشکلی راه‌اندازی مجدد شوند.
برای انجام این کار، می‌توانید از ابزار Windows Update Standalone Installer (WUSA) استفاده کنید، که به نصب و حذف بسته‌های به‌روزرسانی از طریق Windows Update Agent API کمک می‌کند.

ابتدا منوی Start را باز کنید، CMD را تایپ کنید، روی برنامه Command Prompt راست کلیک کرده و گزینه 'Run as Administrator' را انتخاب کنید، سپس دستور زیر را اجرا کنید:
 
همچنین مایکروسافت در ژانویه و دسامبر ۲۰۲۲ به‌روزرسانی‌های اضطراری ویندوز سرور را منتشر کرد تا مشکلات شناخته‌شده‌ای که باعث متوقف شدن ماشین‌های مجازی Hyper-V و مشکلات در ایجاد ماشین‌های مجازی جدید در برخی از میزبان‌های Hyper-V می‌شد، را حل کند.

 مراجع

محققان IBM X-Force  نوع جدیدی از بدافزار GootLoader با نام GootBot را شناسایی کرده‌‌‌‌‌‌اند. این بدافزار جدید، به سرعت منتشر شده و سسیستم‌های زیادی را آلوده می‌کند و به سادگی نیز قابل شناسایی نیست.
براساس اعلام محققان IBM X-Force، گروه GootLoader بات اختصاصی خود را به منظور جلوگیری از شناسایی در آخرین مرحله حملات، در زمان استفاده از ابزارهایی C2 نظیر CobaltStrike یا RDP ارائه کرده است. GootBot امکان انتشار سریع در شبکه را به مهاجمان می‌‌‌‌‌‌دهد. بدافزار GootLoader به مهاجمان اجازه می‌دهد تا پس از جذب قربانیان به کمک راه‌‌‌‌‌‌کارهای SEO، بدافزار مرحله بعدی را برروی سیستم آنها دانلود نماید. این بدافزار با عامل مخرب Hive0127 (معروف به UNC2565) مرتبط است.
GootBot به یک تغییر تاکتیکی اشاره می‌کند که هدف آن دانلود یک محتوای بدافزاری، پس از آلوده‌‌‌‌‌‌شدن توسط GootLoader است. این بدافزار شامل یک اسکریپت مبهم PowerShell است و هدف آن اتصال به یک سایت وردپرس، جهت فرمان و کنترل و دریافت دستورات بیشتر است. نکته مهم در این میان استفاده از سرور C2 با کدنویسی سخت (hard-coded) و منحصر به فرد برای هر نمونه GootBot است که مسدود کردن ترافیک مخرب را دشوار می‌‌‌‌‌‌کند.
بدافزار GootBot هر 60 ثانیه یک بار اطلاعات را به سرور C2 خود ارسال می‌کند تا دستورات جدید PowerShell را برای اجرا دریافت کند و نتایج اجرا را در قالب درخواست‌های HTTP POST به سرور منتقل کند.
بدافزار GootLoader از راهکارهای SEO برای آلوده کردن سیستم‌های هدف استفاده می‌‌‌‌‌‌کند. در این شرایط کاربر در سایت‌‌‌‌‌‌های به ظاهر معتبر و قانونی، اقدام به پر کردن فرم‌‌‌‌‌‌هایی می‌‌‌‌‌‌کند و سپس پیامی به کاربر نشان داده می‌‌‌‌‌‌شود تا یک نسخه آرشیوی از اطلاعات ثبت شده را دانلود کند. این آرشیو با یک کد جاوا اسکریپت آلوده شده است.

توصیه‌های امنیتی
کشف GootBot نشان از عمق پیشرفت مهاجمان برای گریز از شناسایی و انجام اقدامات مخفیانه دارد. بنابراین کاربران باید در ورود به سایت‌‌‌‌‌‌ها و ثبت اطلاعات خود و سپس دانلود نسخه‌‌‌‌‌‌های آرشیوی از اطلاعات ثبت شده، دقت لازم را داشته باشند. به روزرسانی نرم‌‌‌‌‌‌افزارهای امنیتی جهت بررسی امنیتی فایل‌‌‌‌‌‌های دانلود شده و محدودسازی اجرای کدهای جاوا اسکریپت در مرورگرها، در جلوگیری از حملات این بدافزارها موثر است.

منابع خبر:
 

[1] https://thehackernews.com/2023/11/new-gootloader-malware-variant-evades.html
[2] https://securityintelligence.com/x-force/gootbot-gootloaders-new-approach-to-post-exploitation/
[3] https://isp.page/news/new-gootloader-malware-variant-evades-detection-and-spreads-rapidly/
[4] https://duo.com/decipher/new-gootloader-malware-variant-harder-to-detect-block

گوگل برای ماه نوامبر، 39 آسیب پذیری را در اندروید اصلاح کرده است. بیشتر آسیب پذیری ها شدت بالا دارند به غیر از 5 مورد که شدت بحرانی دارند. گوگل در بروزرسانی این ماه، مواردی رو به‌عنوان زیرودی مشخص نکرده است. علاوه بر بروزرسانی و اصلاح آسیب پذیری‌ها، گوگل یک ویژگی امنیتی جدید را هم برای برنامه های VPN فعال کرده است. برای مطالعه بیشتر اینجا کلیک نمایید.