پژوهشگران امنیت سایبری نسخه جدیدی از باج‌افزار Play که به نام‌های Balloonfly و PlayCrypt نیز شناخته می‌شود را کشف کرده‌اند که برای هدف قرار دادن سیستم‌های لینوکس و به طور خاص محیط‌های VMware ESXi طراحی شده‌ است. VMware ESXiیک هایپروايزور (مجازی‌ساز) است که برای مدیریت ماشین‌های مجازی و زیرساخت‌های IT استفاده می‌شود. این نسخه جدید از باج‌افزار Play ممکن است نشانه‌ای از گسترش حملات این گروه به پلتفرم‌های لینوکس باشد و این گسترش به این معنی است که مهاجم می‌تواند دایره قربانیان خود را افزایش دهد.
باج‌افزار Play از ژوئن 2022 به عرصه سایبری معرفی شد. این باج‌افزار برای فریب و تحت فشار قرار دادن قربانیان از روش‌های دوگانه Double Extortion استفاده می‌کند. به این صورت که ابتدا داده‌های حساس را استخراج کرده و سپس سیستم‌های آسیب‌دیده را رمزگذاری می‌کند و در آخر برای دریافت کلید رمزگشایی، از قربانیان درخواست پرداخت باج می‌کند و آنها را تهدید می‌کند که در صورت عدم پرداخت، اطلاعات سرقت شده را فاش خواهند کرد!
نمونه باج‌افزار Play هنگامی که اجرا می‌شود، ابتدا بررسی می‌کند که آیا در محیط  ESXiدر حال اجرا هست یا خیر. اگر بود شروع به رمزگذاری فایل‌های ماشین‌های مجازی که شامل دیسک‌های ماشین مجازی، فایل‌های پیکربندی و فایل‌های متاداده هست می‌کند. پس از رمزگذاری، این فایل‌ها را با افزونه .PLAY ذخیره می‌کند و در نهایت، یک یادداشت باج‌گیری در دایرکتوری ریشه (root directory) سیستم قربانی قرار می‌دهد.

محصولات تحت تأثیر

•  محیط‌های VMware ESXi
   

توصیه‌های امنیتی

• برای اطمینان از امنیت محیط‌های  ESXi تنظیمات امنیتی، پیکربندی مناسب و بستن پورت‌هایی که نیاز به استفاده از آن نیست حایز اهمیت است.  
• نظارت مستمر بر ترافیک شبکه و فعالیت‌های غیرعادی
• محدود کردن دسترسی ها و جداسازی شبکه‌های حساس و سرورها و سیستم‌های حیاتی
• آگاهی‌رسانی به کارکنان درباره‌ی فیشینگ و نحوه‌ی تشخیص ایمیل‌ها و لینک‌های مشکوک می‌تواند میزان نفوذ باج‌افزار را کاهش دهد.
• به دلیل هدف قرار دادن محیط‌های  VMware ESXi پشتیبان‌گیری منظم و امن از ماشین‌های مجازی اهمیت زیادی دارد.
   

منبع خبر:

 https://thehackernews.com/2024/07/new-linux-variant-of-play-ransomware.html?m=1

یک آسیب‌پذیری با شدت متوسط (5.4) و شناسه‌ CVE-2024-39929 در نرم‌افزار اگزیم Exim (Experimental Internet Mailer) که نرم‌افزاری open source جهت ارسال یا دریافت ایمیل در سیستم‌عامل‌های Linux و Unix می‌باشد،  کشف شده است. از طریق این آسیب‌پذیری، نام فایل هدر RFC 2231  اشتباه تجزیه خواهد شد و مهاجم از راه دور می‌تواند مکانیزم حفاظتی مربوط به انسداد پسوند $mime_filename را دور بزند و فایل‌های پیوستی قابل اجرا را به صندوق ورودی کاربر ارسال کند؛ زیرا نام فایل به درستی تجزیه نشده است و آخرین قسمت مربوط به نام فایل را حذف می‌کند.
بر اساس بردار حمله این آسیب‌پذیری  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N  بهره‌برداری از آن از شبکه خارجی امکان‌پذیر نیست. مهاجم باید از راه دور (از طریق پروتکلی مانند SSH یا RDP) به سیستم دسترسی داشته باشد، یا نیاز به استفاده از مهندسی اجتماعی یا تکنیک‌های دیگر جهت فریب کاربر ناآگاه برای کمک به شروع بهره‌برداری دارد. (AV:N)، بهره‌برداری از آن نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L) ، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، به تعامل با کاربر نیز نیاز دارد (UI:R)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:U) و دو ضلع از سه ضلع امنیت با شدت پایینی تحت تأثیر قرار می‌گیرد.

محصولات تحت تأثیر
 نسخه 4.97.1 نرم‌افزارExim  تحت تأثیر این آسیب‌پذیری قرار دارند.

 توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت، نرم‌افزار Exim خود را به نسخه 4.98 ارتقاء دهند.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-39929
[2]Bug 3099 – Incorrect parsing of multiline rfc2231 header filename (exim.org)

یک آسیب‌پذیری با شناسه CVE-2024-6457  و شدت ۹.۸ (بحرانی) در افزونهHUSKY وردپرس که افزونه‌ای جهت فیلتر کردن محصولات در WooCommerce می‌باشد، کشف شده است. آسیب‌پذیری مذکور نوعی تزریق کد SQL مبتنی بر زمان است که با استفاده از پارامتر woof_author رخ می‌دهد و این امکان را برای مهاجم احراز هویت نشده فراهم می‌کند تا کوئری‌های SQL اضافی را به کوئری‌های موجود اضافه کند که می‌تواند منجر به استخراج اطلاعات حساس از پایگاه‌داده شود. 
مهاجمان می‌توانند از این آسیب‌پذیری برای موارد زیر بهره‌برداری کنند:

• سرقت اطلاعات حساس از پایگاه‌داده، مانند نام کاربری، رمز عبور و اطلاعات مشتریان
• دست‌کاری داده‌ها در پایگاه‌داده
• اجرای دستورات دلخواه در سرور

محصولات تحت‌تأثیر
نسخه‌های ۱.۳.۶ و پایین‌تر افزونهHUSKY وردپرس آسیب‌پذیر می‌باشند.

توصیه امنیتی

• اعمال به‌روزرسانی افزونه HUSKY  : به‌روزرسانی افزونه HUSKY به نسخه ۱.۳.۷ یا بالاتر.
• نصب افزونه امنیتی: نصب یک افزونه امنیتی مانند Wordfence یا Sucuri Security جهت اسکن و شناسایی آسیب‌پذیری‌ها در وردپرس.
• ایجاد نسخه پشتیبان از پایگاه‌داده: به طور مرتب از پایگاه‌داده خود نسخه پشتیبان تهیه کنید تا در صورت حمله بتوانید آن را بازیابی کنید.

منابع خبر:

[1]    https://nvd.nist.gov/vuln/detail/CVE-2024-6457
[2]    https://plugins.trac.wordpress.org/browser/woocommerce-products-filter/trunk/ext/by_author/index.ph…
[3]    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6457

چندین آسیب‌پذیری در مرورگر گوگل کروم کشف شده  است که می‌تواند توسط مهاجم منجر به اجرای دلخواه کد شود. این آسیب‌پذیری‌ها به مهاجمان امکان می‌دهد تا در صورت بهره‌برداری موفق، برنامه‌های مختلف را نصب و آن‌ها را پیکربندی کرده، داده‌ها را مشاهده، تغییر یا حذف نماید و یا حتی حساب‌های کاربری جدید با بالاترین دسترسی(مانند حساب های مدیریتی)  ایجاد نمایند.  این آسیب‌پذیری‌ها در موتور جاوا اسکریپت، ضبط صفحه ‌نمایش، جریان رسانه، صوت، پیمایش و ابزارهای توسعه‌دهنده گوگل کروم وجود دارند که شدید ترین آن‌ها می‌تواند منجر به اجرای کد  دلخواه شود. جزئیات این آسیب‌پذیری‌ها به شرح زیر هست:

• CVE-2024-6772: نقص در پیاده‌سازی  V8 
• CVE-2024-6773: اشتباه در تشخیص نوع V8 
• CVE-2024-6774: استفاده پس از آزادسازی در Screen Capture 
• CVE-2024-6775: استفاده پس از آزادسازی در Streamها 
• CVE-2024-6776: استفاده پس از آزادسازی در صوت 
• CVE-2024-6777: استفاده پس از آزادسازی در Navigation 
• CVE-2024-6778: مسابقه در ابزارهای توسعه (DevTools)  
• CVE-2024-6779: دسترسی به حافظه خارج از محدوده درV8  

محصولات تحت تأثیر

• نسخه‌های کروم قبل از  126.0.6478.182/183در سیستم‌عامل ویندوز و مک.
• نسخه‌های کروم قبل از 126.0.6478.182 در سیستم‌عامل لینوکس.
• کلیه نهاد های دولتی و کسب و کارها با هر سطحی در معرض آسیب‌پذیری مذکور قرار دارند.

توصیه‌های امنیتی 

• به‌روزرسانی نرم‌افزار: فورأ در محصولات آسیب‌پذیر گوگل کروم به‌روزرسانی‌های مناسب اعمال گردد. 
• به‌روزرسانی خودکار وصله‌های نرم‌افزاری: به‌روزرسانی‌های نرم‌‌افزاری به صورت خودکار و حداقل ماهانه روی دارایی‌های سازمانی اعمال گردد.
• رفع آسیب‌پذیری‌های شناسایی شده: آسیب‌پذیری‌های شناسایی شده در نرم‌افزارها حداقل ماهانه بر اساس فرآیند رفع آسیب‌پذیری برطرف گردد.
• اطمینان استفاده از مرورگرها و کلاینت‌های ایمیل پشتیبانی‌شده: سازمان باید مطمئن شود کاربران تنها از نسخه‌های رسمی و به‌روز مرورگرها و کلاینت‌های ایمیل استفاده می‌کنند.
• استفاده از اصل حداقل دسترسی‌‌ها: هر کاربر، برنامه یا فرآیند، فقط حداقل دسترسی‌‌های مورد نیاز برای انجام وظایف خود داده شود. محدود کردن دسترسی‌ها به حداقل ممکن کمک می‌کند تا در صورت نفوذ مهاجم، آسیب‌ها و خسارت‌ها، به جداقل کاهش یابد.
• محدود کردن و کنترل محتوای وب: محدود کردن دسترسی به وب‌سایت‌های خاص و مسدود کردن دانلود فایل‌ها و پیوست‌ها و مسدود کردن اجرای جاوا اسکریپت و محدود کردن استفاده از افزونه‌های مرورگر.
• آموزش و آگاه‌سازی کاربران در خصوص تهدیدات ناشی از لینک‌های Hypertext در ایمیل‌ها یا پیوست‌ها، به ویژه از منابع غیرقابل اعتماد و ایجاد و حفظ برنامه آگاه‌سازی امنیتی سازمان

منبع خبر:

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbit…
 

شرکت سیسکو یک آسیب‌‌پذیری بحرانی را برطرف کرده است که به مهاجمان اجازه می‌دهد کاربران جدیدی با دسترسی Root ایجاد کنند و دستگاه‌های درگاه امنیت ایمیل (SEG) را با استفاده از ایمیل‌های حاوی پیوست‌های مخرب به طور دائمی از کار بیندازند. این آسیب‌پذیری که با شناسه CVE-2024-20401 ثبت شده است سبب دسترسی به فایل دلخواه در ویژگی‌های اسکن محتوا و فیلترینگ پیام SEG می‌شود. آسیب‌پذیری مذکور، ناشی از یک ضعف مسیریابی مطلق در چگونگی مدیریت پیوست‌های ایمیل هنگام فعال بودن تجزیه و تحلیل فایل و فیلترهای محتوا است و بر روی دستگاه‌هایی تأثیر می‌گذارد که نسخه آسیب‌پذیر Cisco AsyncOS  را نصب کرده‌اند و همچنین ویژگی تحلیل فایل Cisco Advanced Malware Protection یا ویژگی فیلتر محتوا فعال باشد. 

محصولات تحت تأثیر

• دستگاه‌هایی که Cisco Security Email Gateway (SEG)  را اجرا می‌کنند.
• Cisco AsyncOS   
• Cisco Content Scanner Tools  نسخه‌های قبل از 23.3.0.4823
• Cisco Advanced Malware Protection  

توصیه‌های امنیتی 

• اگر دستگاه‌های SEG از نسخه آسیب‌پذیر Cisco AsyncOS استفاده می‌کنند و همچنین ویژگی تجزیه و تحلیل فایل یا ویژگی فیلتر محتوا فعال است باید سریعأ به نسخه 23.3.0.4823 یا بالاتر از Content Scanner Tools ارتقاء یابد. برای رفع این آسیب‌پذیری نسخه وصله‌شده Cisco Content Scanner Tools به صورت پیش فرض در Cisco AsyncOS  برای نسخه‌های 15.5.1-055 و بالاتر نرم‌افزار Cisco Secure Email گنجانده شده است. بنابراین توصیه می شود محصول خود را هرچه سریع‌تر به نسخه 15.5.1-055 یا بالاتر از AsyncOS ارتقا دهید. 
• غیرفعال‌سازی ویژگی‌های آسیب‌پذیر: در صورت عدم امکان اعمال به‌روزرسانی، مدیران سازمان باید ویژگی‌های تحلیل فایل بخشی از Cisco Advanced Malware Protection  و ویژگی فیلتر محتوا را که به یک سیاست ورودی ایمیل اختصاص داده شده‌اند غیرفعال کنند تا این آسیب‌پذیری را خنثی سازند.
• آموزش کاربران: کاربران باید درباره خطرات ناشی از پیوست‌های مخرب ایمیل و اهمیت اعمال به‌روزرسانی نرم‌افزارها آموزش ببینند.
• پشتیبان‌گیری و بازیابی اطلاعات: مدیران باید به ‌طور مرتب از اطلاعات مهم سیستم‌ها پشتیبان‌‌گیری کرده و روش‌های بازیابی در صورت بروز حمله را آماده کنند.

منبع خبر:

https://www.bleepingcomputer.com/news/security/critical-cisco-bug-lets-hackers-add-root-users-on-se…

به‌تازگی یک آسیب‌پذیری با شدت 8.8 و شناسه CVE-2024-6737 در برنامه Electronic Official Document Management System شرکت 2100 TECHNOLOGY کشف شده است. این آسیب‌پذیری به دلیل وجود نقص در پیاده‌سازی سیستم مدیریت دسترسی می‌باشد و از راه‌دور به مهاجمانی  که دارای دسترسی عادی‌ هستند، امکان دسترسی به تنظیمات حساب کاربری و ساخت حساب اربری با سطح دسترسی ادمین را می‌دهد.

محصولات تحت‌تأثیر
این آسیب‌پذیری تمامی نسخه‌های پیش از 5.0.77 برنامه Electronic Official Document Management System را تحت‌تأثیر قرار می‌دهد.

توصیه‌های امنیتی
با به‌روزرسانی نسخه برنامه Electronic Official Document Management System به 5.0.77 یا بالاتر این نقص امنیتی رفع می‌شود.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-6737

VMware نقص امنیتی بحرانی SQL-Injection را در محصول Aria Automation با شناسه CVE-2024-22280 برطرف کرده است.  با استفاده از این  آسیب‌پذیری،  مهاجم احراز هویت‌شده می‌تواند با وارد کردن کوئری‌های یک SQL خاص از این نقص امنیتی بهره‌‌برداری کرده و به صورت غیرمجاز، پایگاه داده عملیات خواندن یا نوشتن را انجام دهد.
پیش از این،  VMwareیک آسیب‌پذیری بحرانی با شناسه CVE-2023-34063 و شدت  CVSS 9.9  را  بر روی این پلتفرم برطرف کرده بود که مهاجم احراز هویت‌شده، با بهره‌برداری از آن می‌تواند از راه دور منجر به ایجاد دسترسی غیرمجاز در شبکه سازمان‌ها شود. VMware Aria Automation یک پلتفرم مدرن برای اتوماسیون ابری است که به ساده‌سازی و بهبود فرآیندهای استقرار و مدیریت و بر زیرساخت‌ها و برنامه‌های ابری می‌پردازد و به سازمان اجازه می‌دهد وظایف مختلف را در محیط‌های ابری مختلف به صورت خودکار انجام دهد. 

محصولات تحت تأثیر

• نسخه 8.x از VMware Aria Automation
• نسخه‌های 4.x  و 5.x از Cloud Foundation

توصیه‌های امنیتی 

• اعمال به‌روزرسانی: اطمینان حاصل شود که VMware Aria Automation و VMware Cloud   Foundation  به آخرین نسخه‌های موجود به‌روزرسانی شده است.
• مدیریت دسترسی‌ها: اعمال سیاست‌های دسترسی صحیح به سیستم‌‌ها و بانک¬های اطلاعاتی جهت جلوگیری دسترسی‌های غیرمجاز.
• مانیتورینگ و نظارت: داشتن نظارت مداوم بر فعالیت‌های سامانه¬ها و زیرساخت سازمان و نصب سیستم‌های ثبت وقایع به منظور شناسایی سریع‌ترین حملات و نقض‌های امنیتی موجود.

منبع خبر:

https://securityaffairs.com/165560/security/vmware-aria-automation-critical-sql-injection.html
 

به تازگی یک آسیب‌‌‌‌‌‌‌‌پذیری بحرانی با شناسه CVE-2024-36435 و شدت 9.8 در برخی از مادربردهای Supermicro  کشف شده است. در این آسیب‌پذیری مهاجم احراز هویت نشده می‌‌‌‌‌‌‌‌تواند داده‌‌‌‌‌‌‌‌های دستکاری‌‌‌‌‌‌‌‌شده که موجب سرریز بافر پشته می‌‌‌‌‌‌‌‌شود را به رابطی که پشته را راه‌اندازی می‌کند ارسال کند. این امر ممکن است منجر به اجرای کد دلخواه مهاجم از راه دور بر روی BMC (میکروکنترلر تخصصی تعبیه شده روی مادربرد) شود.

محصولات تحت‌تأثیر
این آسیب‌‌‌‌‌‌‌‌پذیری سخت‌‌‌‌‌‌‌‌افزار BMC مادربردهای زیر و ماژول‌‌‌‌‌‌‌‌های CMM6 را تحت‌تأثیر قرار می‌دهد:
•    X11
•    X12
•    B12
•    X13
•    H13
•    B13

توصیه‌های امنیتی
نسخه به‌‌‌‌‌‌‌‌روزرسانی‌‌‌‌‌‌‌‌شده سخت‌‌‌‌‌‌‌‌افزار BMC جهت کاهش این آسیب‌‌‌‌‌‌‌‌پذیری احتمالی ایجاد شده و در دسترس است. برنامه SKU تمامی مادربردهای آسیب‌‌‌‌‌‌‌‌پذیر به این نسخه جدید نیاز دارند. همچنین برای کاهش سطح حمله توصیه می‌‌‌‌‌‌‌‌شود از راهنمای پیکربندی BMC به نام BMC Configuration Best Practices Guide برای تنظیم session timeout پیروی گردد.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-36435

یک آسیب‌پذیری با شناسه CVE-2024-27903 و شدت بحرانی 9.8 در OpenVPN plug-ins شناسایی شده است. نسخه ۲.۶.۹ و قبل‌تر OpenVPN را می‌توان در هر پوشه‌ای از سیستم‌عامل ویندوز اجرا کرد؛ در نتیجه مهاجم امکان اجرای افزونه را از هر پوشه‌ای دارد که  این امر می‌تواند منجر به دسترسی غیرمجاز به سرویس تعاملی OpenVPN  با سطح دسترسی بالاتر می‌شود. بر اساس  بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H، بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U). در بدترین شرایط (قربانی شدن کاربری با سطح دسترسی ادمین)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).

محصولات تحت‌تأثیر
نسخه ۲.۶.۹ و پایین‌تر  OpenVPN آسیب‌پذیر می‌باشند.
 

توصیه امنیتی
به کاربران توصیه می‌شود که OpenVPN ویندوز را به آخرین نسخه (۲.۶.۱۰ یا ۲.۵.۱۰) به‌روزرسانی کرده و اقدامات لازم را جهت محافظت از سیستم‌های خود انجام دهند.

منابع خبر:

[1]    https://openvpn.net/security-advisory/ovpnx-vulnerability-cve-2024-27903-cve-2024-27459-cve-2024-24…
[2]    https://www.tenable.com/cve/CVE-2024-27903
[3]    https://nvd.nist.gov/vuln/detail/CVE-2024-27903

به تازگی یک آسیب‌پذیری بحرانی با شناسه CVE-2024-6396 و شدت 9.8 در تابع _backup_run ابزار aimhubio/aim کشف شده است. این آسیب‌پذیری از راه دور به مهاجمان اجازه می‌دهد تا فایل‌های سرور میزبان را بازنویسی و داده‌های دلخواه را استخراج کنند. این امر می‌تواند موجب محروم‌سازی از سرویس به دلیل بازنویسی فایل‌های حیاتی سیستم، از دست رفتن داده‌های خصوصی و اجرای کد از راه دور شود.

محصولات تحت‌تأثیر
این آسیب‌پذیری در نسخه 3.19.3 ابزار aimhubio/aim وجود دارد.

توصیه‌های امنیتی
در حال حاضر آسیب‌پذیری مذکور در انتظار تجزیه و تحلیل است و تاکنون راه حلی برای رفع آن منتشر نشده است.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-6396