یک آسیب‌پذیری امنیتی با شناسه CVE-2023-47004 در  RedisGraph کشف شده است که به‌دلیل سرریز بافر امکان اجرای کد دلخواه (از طریق code logic) را برای مهاجم احراز هویت شده فراهم می‌آورد.
Redis یک حافظه ذخیره‌سازی منبع باز است که به‌عنوان پایگاه‌داده، حافظه پنهان (cache)، موتور جریان (streaming engine) و واسط پیام (message broker) استفاده می‌شود.
RedisGraph اولین پایگاه‌داده Property Graph قابل پرسش است که از ماتریس‌های پراکنده (sparse matrices) برای نمایش ماتریس مجاورت و جبر خطی برای پرس و جو در نمودارها استفاده می‌کند.

محصولات تحت تأثیر
این آسیب‌پذیری محصول Redis شامل RedisGraph نسخه 2.0  تا 2.12.8 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء RedisGraph به نسخه‌ 2.12.9 اقدام نمایند.

منبع خبر:

[1] https://github.com/RedisGraph/RedisGraph/issues/3178 

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-46851 و شدت 8.8 در  Apache Allura شناسایی شده است. در این آسیب‌پذیری به دلیل اینکه Allura Discussion و Allura Forum در وارد کردن (importing) مقادیر URL مشخص شده در پیوست‌ها (attachments) محدودیتی اعمال نمی‌کنند، مدیران پروژه می‌توانند به راحتی عمل ایمپورت کردن را انجام دهند. در نتیجه Allura می‌تواند به اطلاعات حساسی از جمله فایل‌های محلی دسترسی پیدا کند و آن‌ها را بخواند. دسترسی به فایل‌های داخلی می‌تواند منجر به سوء استفاده‌های دیگری از جمله سرقت سشن یا اجرای کد از راه دور شود.
 

محصولات تحت تأثیر
این آسیب‌پذیری Apache Allura نسخه‌های 1.0.1 تا 1.15.0را تحت تأثیر قرار می‌دهد.
 

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسبت به ارتقاء Apache Allura به نسخه‌ 1.16.0 اقدام نمایند.
 

• اگر  قادر به ارتقاء Apache Allura نبوده و یا مایل به داشتن حداکثر امنیت در Apache Allura هستید، در فایل پیکربندی ini. تنظیمات زیر را انجام دهید:

disable_entry_points.allura.importers = forge-tracker, forge-discussion

همچنین جهت نصب وابستگی‌های به روز شده (updated dependencies)، دستور زیر را اجرا کنید:

pip install -r requirements.txt --no-deps --upgrade --upgrade-strategy=only-if-needed

سپس paster ensure_index development.ini در Allura dir را اجرا کنید.
 

•  این نسخه Python  نسخه‌های 3.8 تا 3.11 را پشتیبانی می‌کند. در صورت تغییر پایتون به نسخه جدید، باید یک محیط جدید مجازی پایتون بسازید و pip install ... را در آن اجرا کنید و سپس از آن برای اجرای Allura استفاده کنید.
•  اگر از داکر استفاده می‌کنید، ایمیج allura را دوباره بسازید و کانتینرها را دوباره راه‌اندازی کنید.

منبع خبر:

[1] https://allura.apache.org/posts/2023-allura-1.16.0.html

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-42361 در محصولات Jira Server و Jira Data Center شرکت  Atlassianشناسایی شده است. این آسیب‌پذیری یک نقص Local File Inclusion (LFI) در افزونه Better PDF Exporter در سرور Jira و مرکز داده Jira عنوان شده است. این افزونه با هزاران نصب از برجسته‌ترین افزونه‌ها در بازار Atlassian است. در Jira Server یا Jira Data Center، یک تصویر جعلی باعث ایجاد نقص در فرآیند اکسپورت کردن فایل‌های PDF توسط افزونه Better PDF Exporter می‌شود. این نقص به کاربران غیرمجاز اجازه می‌دهد تا علاوه بر دسترسی به فایل‌های دلخواه، تأثیرات دیگری نیز بر روی سیستم هدف بر جای بگذارند. همچنین، این آسیب‌پذیری ابزاری را برای مهاجم فراهم می‌کند تا برنامه‌های کاربردی وب را در شبکه داخلی شناسایی کند و منجر به حمله جعل درخواست سمت سرور یا Server-side request forgery (SSRF)  شود.
آسیب‌پذیریLocal File Inclusion (LFI)  به مهاجم این اجازه را می‌دهد که از طریق مرورگر، فایل‌های خود را در سرور بارگذاری کند. نقص LFI زمانی به وجود می‌آید که وب‌سایت، ورودی‌ها را به درستی اعتبارسنجی نکرده و در نتیجه مهاجم قادر است ورودی را دستکاری کند و کاراکتر‌های پیمایش مسیر را در آن قرار دهد.
از جمله تأثیرات مخرب این آسیب‌پذیری می‌توان به موارد زیر اشاره کرد:
-    حملات LFI و SSRF
-    افزایش امتیازات سیستمی و سطوح دسترسی
-    افشای اطلاعات حساس
-    دور زدن لیست سفید IP (IP whitelisting) و شناسایی شبکه

محصولات تحت تأثیر
این آسیب‌پذیری محصولات  Atlassian شامل Jira Server و Jira Data Center نسخه‌های 10.3.0 و قبل‌تر را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Jira Server و Jira Data Center به نسخه 11.0.0 یا نسخه جدیدتر اقدام نمایند.

منبع خبر:

[1]‌ https://marketplace.atlassian.com/apps/5167/better-pdf-exporter-for-jira?tab=versions&hosting=datac…

آسیب‌پذیری با کد شناسه CVE-2023-29552 و امتیاز CVSS 7.5 یک آسیب‌پذیری انکار سرویس است که می‌تواند برای اجرای حملات گسترده تشدید انکارسرویس استفاده شود. پروتکل مکان سرویس(SLP) یک آسیب‌پذیری انکارسرویس را دربر دارد که می‌تواند به یک مهاجم  احرازهویت نشده از راه دور اجازه دهد خدمات را ثبت کند و از ترافیک UDP جعلی برای انجام یک حمله انکار سرویس (DoS) با ضریب تقویت قابل توجهی استفاده کند. SLP پروتکلی است که به سیستم‌هایی که در یک شبکه‌ محلی مشترک(LAN) هستند امکان تشخیص و برقراری ارتباط با یکدیگر را می‌دهد.
جزئیات دقیق پیرامون ماهیت بهره‌برداری از این نقص شدید امنیتی در حال حاضر ناشناخته است، اما Bitsight قبلاً هشدار داده بود که این نقص می تواند برای DoS با ضریب تقویت بالا مورد سوءاستفاده قرار گیرد. این ضریب تقویت بسیار بالا، به یک مهاجم با دسترسی کمتری به منابع، اجازه می دهد تا از طریق یک حمله تقویتی بازتابی DoS تاثیر قابل توجهی بر روی یک شبکه هدفمند یا سرور داشته باشد.

با توجه به حملات دنیای واقعی که این نقص را به کار می‌گیرند، سازمان‌ها باید اقدامات کاهشی لازم را از جمله غیرفعال کردن سرویس SLP در سیستم‌های در حال اجرا در شبکه‌های غیرقابل اعتماد برای ایمن کردن شبکه‌های خود در برابر تهدیدات احتمالی اعمال کنند.

 پلتفرم‌های تحت تاثیر
VMware این آسیب‌پذیری را بررسی کرده و مشخص کرده است که نسخه‌های ESXi که در حال حاضر پشتیبانی می‌شوند (ESXi 7.x, 8.x) تحت تأثیر قرار نمی‌گیرند. با این حال، نسخه هایی که به پایان پشتیبانی عمومی (EOGS) رسیده اند، مانند 6.7 و 6.5، تحت تأثیر این آسیب‌پذیری قرار گرفته اند.
طبق دستورالعمل‌های قبلی، VMware توصیه می‌کند که بهترین گزینه برای رسیدگی به این نقص، ارتقا به یک نسخه پشتیبانی‌شده است که تحت تأثیر آسیب‌پذیری قرار نگیرد. ESXi 7.0 U2c و جدیدتر، و ESXi 8.0 GA و جدیدتر، ضمن حصول اطمینان از اینکه که سرویس SLP به‌طور پیش‌فرض غیرفعال و توسط فایروال فیلتر شده‌باشد. مدیران ESXi ‌همچنین باید بررسی کنند که هاست ESXi در معرض شبکه های نامعتبر قرار نگرفته‌باشند و همچنین SLP را طبق دستورالعمل های KB76372 غیرفعال کنند.
 
منابع

Microsoft گزارش چندین آسیب‌پذیری در مرورگر Edge (Chromium-based) را منتشر کرد. این  آسیب‌پذیری‌ها که در تاریخ 9 و 10 نوامبر 2023 منتشر شده‌اند، به شرح زیر می‌باشند:
آسیب‌پذیری با شناسه CVE-2023-36014 و شدت 7.3 که به واسطه آن مهاجم قادر است کد دلخواه خود را از راه دور در سیستم هدف اجرا کند.
آسیب‌پذیری با شناسه CVE-2023-36024 و شدت 7.1 و آسیب‌پذیری با شناسه CVE-2023-36027 و شدت 7.1 که امکان افزایش امتیاز و سطح دسترسی (Elevation of Privilege) را برای مهاجم به وجود می‌آورد.

محصولات تحت تأثیر
این آسیب‌پذیری‌ها Microsoft Edge (Chromium-based) نسخه‌های قبل از 119.0.2151.58 و قبل از 118.0.2088.102 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Microsoft Edge (Chromium-based) به نسخه‌های وصله شده اقدام نمایند.

منابع خبر:

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36014
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36024
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36027

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-41036 و شدت 7.8 در Macvim (یک ویرایشگر متن برای MacOS) شناسایی شده است. این آسیب‌پذیری امکان اجرای کد دلخواه با سطح دسترسی ریشه را برای مهاجم فراهم می‌آورد. Macvim از مکانیزم IPC ناامن استفاده می‌کند که می‌تواند منجر به افزایش سطح دسترسی شود. اگر MacVim به‌ عنوان ریشه (root) اجرا ‌شود، یک برنامه مخرب می‌تواند جهت افزایش امتیاز و سطح دسترسی از این آسیب‌پذیری بهره‌برداری کند.
اشیاء توزیع شده (distributed objects) مفهومی است که توسط اپل معرفی شده است و به یک برنامه اجازه می‌دهد یک رابط را در اختیار برنامه دیگری قرار دهد. هر روشی که از طریق این رابط‌ها در معرض دید قرار می‌گیرد، برای هر فرآیند دیگری در سیستم قابل استفاده است.
 باید مراقب بود از MacVim برای ویرایش فایل‌هایی که نیاز به امتیازات ریشه دارند استفاده نشود.

محصولات تحت تأثیر
این آسیب‌پذیری، Macvim نسخه‌های قبل از 178 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Macvim به نسخه 178 اقدام نمایند.

منبع خبر:

[1] https://github.com/macvim-dev/macvim/security/advisories/GHSA-9jgj-jfwg-99fv

مایکروسافت مشکلی که باعث ظاهر شدن صفحات آبی و خطاهای بوت در ماشین‌های مجازی ویندوز سرور 2022 روی میزبان‌های VMware ESXi شده بود، شناسایی واعلام کرده است. مدیران ویندوز اعلام کرده‌اند که پس از نصب به‌روزرسانی اکتبر 2023 با شناسه KB5031364، با مشکل در راه‌اندازی ماشین‌های مجازی (VM) مواجه شده‌اند. اکنون، شرکت مایکروسافت این مشکلات را تأیید کرده و اعلام کرده است که این مشکلات تنها بر روی میزبان‌های VMware ESXi تأثیر گذاشته‌اند که مدیران به‌روزرسانی منتشر شده را به عنوان بخشی از "پچ " نصب کرده‌اند.
"ماشین‌های مجازی تحت تأثیر یک خطا با یک صفحه آبی و کد توقف: PNP DETECTED FATAL ERROR مواجه خواهند شد". این مشکل تنها بر میزبان‌های VMware ESXi با پیکربندی زیر تأثیر می‌گذارد:
•    پردازنده فیزیکی  AMD Epyc
•    فعال بودن "Expose IOMMU to guest OS" در تنظیمات VMware برای ماشین مجازی.
•    فعال بودن "Enable Virtualization Based Security" در ویندوز سرور 2022.
•    فعال بودن "System Guard Secure Launch" در ویندوز سرور 2022.
تیم مهندسی مایکروسافت در حال کار بر روی رفع این مشکلات راه‌اندازی مجدد و مشکلات بوت ماشین‌های مجازی است، با احتمال آنکه رفع ممکن است در هفته آینده اعمال شود.

راه حل های موقت 
برای حل این مشکل شناخته‌شده، مدیران می‌توانند گزینه "Expose IOMMU to guest OS" را در تنظیمات ماشین‌های مجازی تحت تأثیر غیرفعال کنند. با این حال، این رفع موقت تنها در برخی از سیستم‌ها کار می‌کند، زیرا برخی محیط‌ها نیاز دارند که این گزینه فعال باشد.
مدیران ویندوز با دستگاه‌های تحت تأثیر همچنین گزارش داده‌اند که حذف بروزرسانی مشکل را حل خواهد کرد (هرچند همچنان تمام به‌روزرسانی‌های امنیتی را که این بروزرسانی ارائه می‌دهد را حذف می‌کند) و این اجازه را می‌دهد که ماشین‌های مجازی بدون هیچ مشکلی راه‌اندازی مجدد شوند.
برای انجام این کار، می‌توانید از ابزار Windows Update Standalone Installer (WUSA) استفاده کنید، که به نصب و حذف بسته‌های به‌روزرسانی از طریق Windows Update Agent API کمک می‌کند.

ابتدا منوی Start را باز کنید، CMD را تایپ کنید، روی برنامه Command Prompt راست کلیک کرده و گزینه 'Run as Administrator' را انتخاب کنید، سپس دستور زیر را اجرا کنید:
 
همچنین مایکروسافت در ژانویه و دسامبر ۲۰۲۲ به‌روزرسانی‌های اضطراری ویندوز سرور را منتشر کرد تا مشکلات شناخته‌شده‌ای که باعث متوقف شدن ماشین‌های مجازی Hyper-V و مشکلات در ایجاد ماشین‌های مجازی جدید در برخی از میزبان‌های Hyper-V می‌شد، را حل کند.

 مراجع

محققان IBM X-Force  نوع جدیدی از بدافزار GootLoader با نام GootBot را شناسایی کرده‌‌‌‌‌‌اند. این بدافزار جدید، به سرعت منتشر شده و سسیستم‌های زیادی را آلوده می‌کند و به سادگی نیز قابل شناسایی نیست.
براساس اعلام محققان IBM X-Force، گروه GootLoader بات اختصاصی خود را به منظور جلوگیری از شناسایی در آخرین مرحله حملات، در زمان استفاده از ابزارهایی C2 نظیر CobaltStrike یا RDP ارائه کرده است. GootBot امکان انتشار سریع در شبکه را به مهاجمان می‌‌‌‌‌‌دهد. بدافزار GootLoader به مهاجمان اجازه می‌دهد تا پس از جذب قربانیان به کمک راه‌‌‌‌‌‌کارهای SEO، بدافزار مرحله بعدی را برروی سیستم آنها دانلود نماید. این بدافزار با عامل مخرب Hive0127 (معروف به UNC2565) مرتبط است.
GootBot به یک تغییر تاکتیکی اشاره می‌کند که هدف آن دانلود یک محتوای بدافزاری، پس از آلوده‌‌‌‌‌‌شدن توسط GootLoader است. این بدافزار شامل یک اسکریپت مبهم PowerShell است و هدف آن اتصال به یک سایت وردپرس، جهت فرمان و کنترل و دریافت دستورات بیشتر است. نکته مهم در این میان استفاده از سرور C2 با کدنویسی سخت (hard-coded) و منحصر به فرد برای هر نمونه GootBot است که مسدود کردن ترافیک مخرب را دشوار می‌‌‌‌‌‌کند.
بدافزار GootBot هر 60 ثانیه یک بار اطلاعات را به سرور C2 خود ارسال می‌کند تا دستورات جدید PowerShell را برای اجرا دریافت کند و نتایج اجرا را در قالب درخواست‌های HTTP POST به سرور منتقل کند.
بدافزار GootLoader از راهکارهای SEO برای آلوده کردن سیستم‌های هدف استفاده می‌‌‌‌‌‌کند. در این شرایط کاربر در سایت‌‌‌‌‌‌های به ظاهر معتبر و قانونی، اقدام به پر کردن فرم‌‌‌‌‌‌هایی می‌‌‌‌‌‌کند و سپس پیامی به کاربر نشان داده می‌‌‌‌‌‌شود تا یک نسخه آرشیوی از اطلاعات ثبت شده را دانلود کند. این آرشیو با یک کد جاوا اسکریپت آلوده شده است.

توصیه‌های امنیتی
کشف GootBot نشان از عمق پیشرفت مهاجمان برای گریز از شناسایی و انجام اقدامات مخفیانه دارد. بنابراین کاربران باید در ورود به سایت‌‌‌‌‌‌ها و ثبت اطلاعات خود و سپس دانلود نسخه‌‌‌‌‌‌های آرشیوی از اطلاعات ثبت شده، دقت لازم را داشته باشند. به روزرسانی نرم‌‌‌‌‌‌افزارهای امنیتی جهت بررسی امنیتی فایل‌‌‌‌‌‌های دانلود شده و محدودسازی اجرای کدهای جاوا اسکریپت در مرورگرها، در جلوگیری از حملات این بدافزارها موثر است.

منابع خبر:
 

[1] https://thehackernews.com/2023/11/new-gootloader-malware-variant-evades.html
[2] https://securityintelligence.com/x-force/gootbot-gootloaders-new-approach-to-post-exploitation/
[3] https://isp.page/news/new-gootloader-malware-variant-evades-detection-and-spreads-rapidly/
[4] https://duo.com/decipher/new-gootloader-malware-variant-harder-to-detect-block

گوگل برای ماه نوامبر، 39 آسیب پذیری را در اندروید اصلاح کرده است. بیشتر آسیب پذیری ها شدت بالا دارند به غیر از 5 مورد که شدت بحرانی دارند. گوگل در بروزرسانی این ماه، مواردی رو به‌عنوان زیرودی مشخص نکرده است. علاوه بر بروزرسانی و اصلاح آسیب پذیری‌ها، گوگل یک ویژگی امنیتی جدید را هم برای برنامه های VPN فعال کرده است. برای مطالعه بیشتر اینجا کلیک نمایید.

مجموعه جدیدی از پکیج‌های مخرب پایتون با هدف سرقت اطلاعات حساس از سیستمهای توسعه‌دهندگان در مخزن پکیجهای پایتون (PyPl) شناسایی شده است. Checkmarx در گزارشی بیان کرد که: این پکیج‌ها بعنوان ابزارهای مبهمسازی استفاده میشوند و در ظاهر سالم و بی ضرر جلوه میکنند اما در اصل حاوی کدهای مخرب و بدافزار BlazeStealer هستند. این بدافزار یک اسکریپت مخرب اضافی را از یک منبع خارجی بازیابی کرده و یک ربات را فعال می‌کند که به مهاجمان کنترل کامل بر سیستم قربانی را می‌دهد.
این کمپین که از ژانویه 2023 آغاز شده است در مجموع هشت پکیج مخرب با نام‌های Pyobftoexe، Pyobfusfile، Pyobfexecute، Pyobfpremium، Pyobflite، Pyobfadvance، Pyobfuse و pyobfgood را انتشار داده‌اند که آخرین آنها در اکتبر منتشر شده است.
این ماژول‌ها دارای فایل‌های setup.py و init.py هستند که برای بازیابی اسکریپت پایتون میزبانی شده در transfer[.]sh طراحی شده‌اند و بلافاصله پس از نصب اجرا میشوند. این بدافزار که BlazeStealer نام دارد یک ربات Discord را اجرا می‌کند که با استفاده از آن مهاجم قادر است تا طیف گستردهای از اطلاعات مانند رمزعبورهای ذخیره شده در مرورگر وب و تصاویر را جمع‌آوری کند، دستورات مختلفی را اجرا کرده و بعد از غیرفعال‌سازی آنتی‌ویروس Microsoft Defender فایل‌های موجود در سیستم آلوده شده را رمزگذاری کند.
علاوه‌براین این بدافزار میتواند میزان استفاده از CPU را افزایش داده، اسکریپت Windows Batch را در لیست راه‌اندازی سیستم برای خاموش کردن دستگاه و حتی ایجاد خطای صفحه آبی (Blue Screen) سیستم را غیرقابل استفاده کند. Gelb خاطرنشان کرد: «این منطقی است که توسعهدهندگانی که درگیر مبهم‌سازی کد هستند، احتمالاً با اطلاعات ارزشمند و حساس سروکار دارند. بنابراین، برای یک هکر، این به معنای هدفی است که ارزش دنبال کردن دارد.»
حوزه متن‌باز همچنان زمینه مناسبی برای نوآوری است، اما نیاز به احتیاط دارد. توسعه‌دهندگان باید هوشیار باشند و پکیج‌ها را قبل از استفاده بررسی کنند. این توسعه از زمانی شروع شده است که شرکت امنیتی Phylum مجموعه‌ای از ماژول‌های npm با مضمون رمزنگاری - puma-com، erc20-testenv، blockledger، cryptotransact و chainflow را با قابلیت‌هایی برای ارائه مخفیانه بدافزار کشف کرد. در سال‌های اخیر، مخازن متنباز به عنوان راهی پرسود برای مهاجمان در انتشار بدافزارها ظاهر شده‌اند. طبق گزارش Phylum's Evolution of Software Supply Chain Security برای سه ماهه سوم 2023، 13708 پکیج در چندین اکوسیستم برای اجرای کدهای مشکوک در حین نصب یافت شده است.
با توجه به اینکه توسعه‌دهندگان زیادی از زبان برنامه‌نویسی پایتون استفاده میکنند و در حین توسعه ابزارهای مختلف از پکیج‌های مختلفی استفاده می‌کنند، لازم است تا به هشدارهای امنیتی توجه داشته و قبل از دانلود پکیج‌ها از سالم بودن آنها اطمینان داشته باشد. 
منابع خبر

https://thehackernews.com/2023/11/beware-developers-blazestealer-malware.html