زبان VBScript یک زبان برنامه نویسی اسکریپتی است که توسط مایکروسافت برای ویندوز و اینترنت اکسپلورر طراحی شده است. این زبان به منظور ساخت صفحات وب، برنامه‌ها و خودکارسازی استفاده می‌شود اما از این زبان جهت دریافت بدافزار به سیستم‌های کاربران نیز استفاده می‌شود و به این دلیل است که مهاجم با سوءاستفاده از زبان VBScript می‌تواند به سیستم‌عامل و فایل‌های کاربر دسترسی پیدا کرده و از آن، جهت اجرای بدافزا و کد مخرب و  یا سرقت اطلاعات بهره‌برداری کند؛ از این رو شرکت مایکروسافت در یک به‌روزرسانی امنیتی، VBScript را در ویندوز 10، ویندوز 8.1 و ویندوز 7 مسدود کرد. این کار جهت جلوگیری از سوءاستفاده مهاجمان از VBScript جهت نصب و دریافت بدافزار بر روی سیستم‌های کاربران است. VBScript معمولا در صفحات وب، فایل‌های HTML و فایل‌های VBS اجرا می‌شود.
این زبان در سال ۱۹۹۶ توسط مایکروسافت به عنوان یک جایگزین برای JScript معرفی شد. گرچه باید اشاره کرد که VBS یک ویژگی بسیار خوب است اما با این حال، باتوجه به سوءاستفاده‌ها و تاثیر منفی که می‌تواند بر عملکرد سیستم داشته باشد، بهتر است آن را در ویندوز غیرفعال کرد.
در این گزارش به چند نمونه از این آسیب‌پذیری که مهاجم از طریق VBScript، سیستم قربانی را مورد هدف قرار می‌دهد اشاره شده است که این امر به مهاجمان اجازه می‌دهد تا با استفاده از فایل‌های RTF یا XML یا وب‌سایت‌های خاص، کد خود را در IE اجرا کنند که در ادامه به چند نمونه از آن‌ها اشاره شده است:
- شناسه CVE-2018-8174: این آسیب‌پذیری منجر به دستکاری نادرست حافظه در IE با فایل RTF با فایل‌های VBScript پنهان شده است.
- شناسه CVE-2019-1367: این آسیب‌پذیری منجر به دستکاری نادرست حافظه در IE با فایل XML با فایل‌های VBScript پنهان شده است.
- شناسه‌های CVE-2020-0674 و CVE-2020-1058: این آسیب‌پذیری‌ها منجر به ایجاد خطای حافظه در VBScript با یک وب سایت خاص شده‌اند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود جهت حفاظت از سیستم‌های خود، توصیه می‌شود سیستم‌عامل ویندوز و IE را به‌روز نگه دارند و از VBScript در صفحات وب خود استفاده نکنند. همچنین در صورت نیاز می‌توان VBScript را به صورت دستی در ویندوز مسدود کرد.

منابع خبر:

[1]Microsoft to kill off VBScript in Windows to block malware delivery https://www.bleepingcomputer.com/news/security/microsoft-to-kill-off-vbscript-in-windows-to-block-m…
[2]Microsoft Vbscript : Security vulnerabilities, CVEs - CVEdetails.com. https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-20672/Microsoft-Vbscript.html.
[3] NVD - CVE-2018-8174. https://nvd.nist.gov/vuln/detail/CVE-2018-8174.
[4] 4 critical vulnerabilities in Microsoft VBScript Engine. https://www.securitynewspaper.com/2020/05/13/4-critical-vulnerabilities-in-microsoft-vbscript-engin….
[5] undefined. https://blog.0patch.com/2018/05/a-single-instruction-micropatch-for.html
[6] https://www.tomshardware.com/how-to/disable-vbs-windows-11

چند آسیب‌پذیری بحرانی با شدت 9.8 در روترهای 4G ER2000 و پلتفرم مبتنی بر ابر ConnectedIO کشف شده است که مهاجم می‌تواند از این طریق زیرساخت‌های ابری را تهدید کرده و کدهای مخرب را از راه  دور در دستگاه قربانی اجرا کرده و تمام داده‌های کاربر را افشا کند.

جزئیات آسیب‌پذیری
آسیب‌پذیری‌های کشف شده برای روترهای 3G/ مهاجم را قادر خواهد ساخت هزاران شبکه داخلی را در معرض تهدیدات شدید قرار دهد تا در نهایت کنترل و رهگیری ترافیک مبادله شده را در دست گرفته و در آن‌ها نفوذ کنند. آسیب‌پذیری‌هایی که بر روی پلتفرم ConnectedIO نسخه 2.1.0 و نسخه‌های قبلی، روترهای 4G ER2000 و سرویس¬های ابری تأثیرگذار هستند به مهاجمان اجازه دهد تا کدهای خود را بدون نیاز به دسترسی خاصی و بصورت مستقیم اجرا کنند.
این آسیب‌پذیری‌ها در پروتکل¬های ارتباطی (یعنی MQTT) که برای اتصال دستگاه‌ها و فضای ابری استفاده می‌شود، یافت شده‌اند. از جمله می‌توان به استفاده از اعتبارنامه‌های احرازهویت hard-code شده برای ثبت یک دستگاه rouge و دسترسی به پیام¬های MQTT حاوی رمزعبور روتر، SSID و شناسه دستگاه، اشاره کرد.
پیامد اصلی آسیب‌پذیری‌های کشف شده آن است که مهاجم نه تنها می‌تواند با استفاده از شماره¬های IMEI فاش شده دستگاه مورد نظر خود را جعل کند، بلکه آن‌ها را مجبور به اجرای دستورات دلخواه خود از طریق پیام‌های MQTT می‌کند.
این امر از طریق یک bash command با کد عملیاتی "1116" امکانپذیر است که یک دستور از راه دور "as-is" را اجرا می¬کند. Moshe بیان کرد که این دستور به هیچ احرازهویتی نیاز نداشته و به مهاجم اجازه می-دهد تا دستورات دلخواه را در همه دستگاه قربانی اجرا کند.
جزئیات آسیب‌پذیری‌های کشف شده بصورت زیر هستند:

• CVE-2023-33375 (CVSS score: 9.8) – یک آسیب¬پذیری سرریز بافر مبتنی¬بر پشته در پروتکل ارتباطی که به مهاجمان اجازه می¬دهد تا کنترل دستگاه را در دست بگیرند.
• CVE-2023-33376 (CVSS socre: 9.8) – یک آسیب¬پذیری تزریق آرگمان در پیام فرمان جداول IP در پروتکل ارتباطی که به مهاجمان این امکان را می‌دهد تا دستورات دلخواه خود را بر روی دستگاه قربانی اجرا کنند.
• CVE-23-33377 (CVSS score 9.8) – یک آسیب‌پذیری تزریق کد در خط فرمان فایروال و در بخشی از پروتکل ارتباطی که از این طریق مهاجمان قادر هستند دستورات سیستم‌عامل دلخواه خود را بر روی دستگاه قربانی اجرا کنند.
• CVE-2023-33378 (CVSS score: 9.8) – یک آسیب‌پذیری تزریق آرگمان در پیام فرمان AT در پروتکل ارتباطی می‌باشد که مهاجمان را قادر می‌سازد تا دستورات دلخواه خود را بر روی دستگاه قربانی اجرا کنند.

مهاجم در صورت بهره‌برداری از این آسیب‌پذیری‌ها می‌تواند خطری جدی برای هزاران شرکت در سراسر جهان ایجاد کند.
شایان ذکر است که این آسیب‌پذیری‌ها در حالی افشا شده‌اند که آسیب‌پذیری‌های دیگری نیز در دستگاه‍‍‍‌های ذخیره‌ساز متصل به شبکه (NAS) شرکت Synology و Western Digital فاش شده است که مهاجمان می‌توانند از آن¬ها جهت جعل هویت و کنترل دستگاه¬ها و همچنین سرقت داده‌های ذخیره¬شده بهره‌برداری کنند.

محصولات تحت تأثیر
شرکت‌ها، سازمان و افرادی که از روترهای 4G ER2000 شرکت ConnectedIO و پلتفرم ابری آن‌ها استفاده می‌کنند، آسیب‌پذیر هستند.

توصیه امنیتی
کارشناسان امنیتی توصیه کرده‌اند در اسرع وقت نسبت به اعمال به‌روزرسانی منتشر شده توسط شرکت ConnectedIO اقدامات لازم را انجام دهند.

منابع خبر:

[1] High-Severity Flaws in ConnectedIO's 3G/4G Routers Raise Concerns for IoT Security (thehackernews.com)
[2] ConnectedIO’s 3/4G Routers Vulnerability Execute Malicious Code (cybersecuritynews.com)

چندین کمپین Balada Injector بیش از 17000 سایت وردپرس را با استفاده از نقص‌های شناخته شده در افزونه‌های تم ممتاز به خطر انداخته و آنها را آلوده کرده است. Balada Injector یک عملیات عظیم است که در دسامبر 2022 توسط دکتر وب کشف شد و از اکسپلویت‌های مختلفی برای پلاگین‌های شناخته‌شده وردپرس و نقص‌های موضوعی برای تزریق درب‌پشتی لینوکس استفاده می‌کند. درپشتی بازدیدکنندگان وب‌سایت‌های در معرض خطر را به صفحات پشتیبانی فناوری جعلی، برنده‌های تقلبی در قرعه‌کشی و کلاهبرداری‌های اعلان فشار هدایت می‌کند، بنابراین یا بخشی از کمپین‌های کلاهبرداری است یا خدماتی است که به کلاهبرداران فروخته می‌شود.
در آوریل 2023، Sucuri گزارش داد که Balada Injector از سال 2017 فعال بوده است و تخمین زده است که نزدیک به یک میلیون سایت وردپرس را در معرض خطر قرار داده است. عوامل تهدید از نقص برنامه‌نویسی متقابل CVE-2023-3169 (XSS) در tagDiv Composer، ابزاری همراه برای تم‌های روزنامه tagDiv و Newsmag برای سایت‌های وردپرس استفاده می‌کنند. طبق آمار عمومی EnvatoMarket، Newspaper بیش از 137000 فروش و Newsmag بیش از 18500 فروش دارد، بنابراین سطح حمله 155500 وب‌سایت است، بدون احتساب نسخه‌های غیرقانونی. این دو مضامین ممتاز (پرداختی) هستند که اغلب توسط پلتفرم‌های آنلاین پررونق که عملکردهای سالم را حفظ می‌کنند و ترافیک قابل توجهی را جمع‌آوری می‌کنند، استفاده می‌شوند.
آخرین کمپین با هدف قرار دادن CVE-2023-3169 در اواسط سپتامبر، اندکی پس از افشای جزئیات آسیب‌پذیری و انتشار PoC آغاز شد. مدیران در Reddit گزارش دادند که بسیاری از سایت‌های وردپرس به یک افزونه مخرب به نام wp-zexit.php آلوده شده‌اند.

 این افزونه به عوامل تهدید اجازه می‌دهد تا کد PHP را از راه دور ارسال کنند که در فایل /tmp/i ذخیره‌شده و اجرا شود. این حملات همچنین با تزریق کد به قالب‌هایی که کاربران را به سایت‌های کلاهبرداری تحت کنترل مهاجم هدایت می‌کرد، مشخص می‌شد. در آن زمان، یکی از نمایندگان tagDiv تایید کرد که از این نقص آگاه بودند و به مردم گفت که آخرین تم را برای جلوگیری از حملات نصب کنند.
tagDiv توضیح داد: "ما از این موارد آگاه هستیم. این بدافزار می تواند وب‌سایت هایی را که از نسخه های تم قدیمی استفاده می‌کنند، تحت تاثیر قرار دهد."
Sucuri شش موج حمله متمایز را مشاهده کرده است که برخی از آنها انواع مختلفی نیز دارند و در زیر خلاصه می شوند:
1-  به خطر انداختن سایت های وردپرس با تزریق اسکریپت‌های مخرب از stay.decentralappps[.]com.این نقص باعث انتشار کدهای مخرب در صفحات عمومی ‌می‌شد. بیش از 5000 سایت تحت‌تاثیر دو نوع (4000 و 1000) قرار گرفتند.
2-  استفاده از اسکریپت مخرب برای ایجاد حساب‌های مدیر وردپرس. در ابتدا از یک نام کاربری 'greeceman' استفاده می‌شد، اما مهاجمان بر اساس نام میزبان سایت، به نام‌های کار‌بری تولید شده خودکار روی آوردند.
3- از ویرایشگر تم وردپرس برای جاسازی درهای پشتی در فایل تم های روزنامه 404.php برای تداوم پنهان استفاده کنید.
4- مهاجمان به نصب پلاگین wp-zexit که قبلا ذکر شد روی آوردند که رفتار مدیر وردپرس را تقلید می‌کرد و درب پشتی را در رابط Ajax وب‌سایت، پنهان می‌کرد.
5-معرفی سه دامنه جدید و افزایش تصادفی سازی در میان اسکریپت ها، URL ها و کدهای تزریق شده، ردیابی و شناسایی را چالش برانگیزتر کرد. یک تزریق خاص از این موج در 484 سایت مشاهده شد.
به طور کلی، Sucuri می گوید Balada Injector را در بیش از 17000 سایت وردپرس در سپتامبر 2023 شناسایی کرده است که بیش از نیمی (9000) با بهره برداری از CVE-2023-3169 به دست آمده است.
امواج حمله به سرعت بهینه‌سازی شدند، که نشان می‌دهد عوامل تهدید می‌توانند به سرعت تکنیک‌های خود را برای دستیابی به حداکثر تأثیر تطبیق دهند. برای دفاع در برابر Balada Injector توصیه می‌شود افزونه tagDiv Composer را به نسخه 4.2 یا بالاتر ارتقا دهید که آسیب پذیری ذکر شده را برطرف می‌کند. همچنین، تمام تم ها و افزونه های خود را به روز نگه دارید، حساب های کاربری غیر فعال را حذف کنید و فایل های خود را برای درهای پشتی مخفی اسکن کنید.
اسکنر بدون دسترسی Sucuri اکثر انواع Balada Injector را شناسایی می‌کند، بنابراین ممکن است بخواهید از آن برای اسکن نصب وردپرس خود برای به خطر افتادن استفاده کنید.

 مراجع

مایکروسافت در به‌روزرسانی ماه اکتبر 2023 سه آسیب‌پذیری روز صفرم با شناسه‌های CVE-2023-36563، CVE-2023-41763  وCVE-2023-44487 در WordPad و Skype for Business که به صورت فعال در حال بهره‌برداری بوده‌اند را وصله کرده است.
شناسه CVE-2023-36563 یک آسیب‌پذیری در WordPad است که اگر مهاجم بتواند به سیستم کاربر دسترسی پیدا کند، قادر است با اجرای یک برنامه از پیش طراحی شده خاص، هش NTLM که رمز عبور رمزنگاری شده کاربران ویندوز است را دریافت کند و کنترل سیستم را به دست بگیرد. همچنین مهاجم می‌تواند سیستم کاربر محلی را از طریق باز کردن یک فایل مخرب، آلوده کند. مایکروسافت علاوه بر اعمال وصله برای این آسیب‌پذیری که در به‌روز رسانی ماه اکتبر ارائه شده است، توصیه می‌کند که مدیر سیستم، NTLM خروجی را بر روی SMB در ویندوز ۱۱ غیرفعال کند تا احتمال موفقیت بهره‌برداری از NTLM-relay را به حداقل برساند.

شناسه CVE-2023-41763 یک آسیب‌پذیری در Skype for Business است که باعث می‌شود مهاجم با ارسال یک درخواست خاص به سرور Skype for Business قربانی، اطلاعات حساس مانند آدرس IP و شماره پورت را به دست آورد. مایکروسافت اذعان دارد که این اطلاعات ممکن است منجر به دسترسی به شبکه‌های داخلی بوده و به عنوان یک آسیب‌پذیری ارتقاء سطح دسترسی شناخته شود.

شناسه CVE-2023-44487 یک آسیب‌پذیری در پروتکل HTTP/2 است که توسط مهاجمان برای انجام حملات DDoS با حجم بالا استفاده شده است. این آسیب‌پذیری که با نام Rapid Reset شناخته می‌شود، باعث مصرف منابع و افزایش بار پردازشی سرورهای HTTP/2 شده و ممکن است سرویس‌دهی آن‌ها را مختل کند. مایکروسافت وصله‌هایی را برای محصولات تحت تأثیر خود ارائه کرده است.

مایکروسافت به کاربران اکیداً توصیه کرده است که باید هرچه زودتر به‌روزرسانی ماه اکتبر ۲۰۲۳ را اعمال کنند و تنظیمات امنیتی سسیستم‌های خود را مورد بازبینی قرار دهند. همچنین از باز کردن فایل‌های مشکوک پرهیز کنند.

منابع

شرکت اپل برای دو محصول iphone و ipad یک به‌روزرسانی فوری جهت رفع یک آسیب‌پذیری روز صفر با شناسه CVE-2023-42824 منتشر کرد. این آسیب‌پذیری‌ در هسته سیستم‌عامل XNU که متعلق به شرکت اپل است شناسایی شده و به مهاجم اجازه می‌دهد به صورت لوکال، سطح دسترسی خود را افزایش دهد.
اپل همچنین در این به‌روزرسانی، یک وصله امنیتی برای آسیب‌پذیری روز صفر دیگری با شناسه CVE-2023-5217 که از نوع heap buffer overflow می‌باشد، ارائه کرده است. این آسیب‌پذیری پیش از این در محصولاتی از جمله Microsoft Edge و Google Chrome نیز شناسایی و برای آنها به‌روزرسانی‌هایی توسط شرکت‌های مایکروسافت و گوگل منتشر شده بود.

محصولات آسیب‌پذیر
شرکت اپل محصولاتی را که نیاز به بروزرسانی فوری دارند، اعلام کرده است:
•    iphone X به بعد
•    iPad Pro 12.9-inch نسل دو به بعد
•    iPad Pro 10.5-inch
•    iPad Pro 11-inch نسل اول به بعد
•     iPad Air نسل سه به بعد
•    iPad mini نسل پنج به بعد

توصیه‌های امنیتی
 با توجه به انتشار بروزرسانی رسمی برای محصولات آسیب‌پذیر توسط شرکت اپل، کارآمدترین روش برای ایجاد امنیت برای کاربران این محصولات، به‌روزرسانی دستگاه‌های خود به آخرین نسخه امنیتی ارائه شده توسط این شرکت می‌باشد.

 منابع خبر:

[1] https://support.apple.com/en-us/HT213961
[2] www.bleepingcomputer.com/news/apple/apple-emergency-update-fixes-new-zero-day-used-to-hack-iphones/…;

محققان Binarly هفت آسیب‌پذیری با شدت بالا و بحرانی در سرورهای SuperMicro کشف کرده‌اند که امکان اجرای کدهای جاوا اسکریپت را برای مهاجمان و کاربران احرازهویت نشده فراهم می¬آورد. وصله‌های امنیتی این آسیب‌پذیری‌ها توسط تیم SuperMicro ارائه شده است و سازمان‌هایی که از این سرورها استفاده می‌کنند باید هرچه زودتر این وصله‌های امنیتی را در سرورهای خود اعمال کنند.

جزئیات آسیب‌پذیری
محققان Binarly آسیب‌پذیری‌های متعددی را در میان‌افزار رابط مدیریت پلت‌فرم هوشمند (IPMI ) برای کنترلرهای مدیریت پایه سوپرمیکرو (BMC ) کشف کرده‌اند که امکان اجرای کدهای جاوااسکریت را از راه-دور برای مهاجمان فراهم می‌آورد. این هفت نقص امنیتی (CVE-2023-40284 تا CVE-2023-40290) به مهاجمان اجازه می‌دهد تا بدون انجام فرآیند احرازهویت به BMC دسترسی root داشته باشند. خوشبختانه سوپرمیکرو وصله‌های امنیتی مناسب برای این آسیب‌پذیری‌ها را ارائه داده است و سازمان‌هایی که از این سرورها استفاده می‌کنند باید هرچه زودتر نسبت به برطرف کردن این نقص‌های امنیتی اقدامات لازم را انجام دهند.
BMCها پردازنده‌های خاصی در مادربردهای سرور سوپرمیکرو هستند که امکان مدیریت از راه  دور را فراهم می‌سازند و مدیران امنیتی قادر هستند با استفاده از آن شاخص‌های سخت‌افزاری مانند دما، تنظیم سرعت فن و به‌روزرسانی UEFI را کنترل کنند.
آسیب‌پذیری‌های کشف شده توسط Binarly بصورت زیر می‌باشند:

• CVE-2023-40284، CVE-2023-40287 و CVE-2023-40288 (CVSS scores: 9.6)
  سه آسیب‌پذیری XSS که به مهاجم و کاربران احرازهویت نشده اجازه می‌دهد تا کدهای جاوااسکریپت خود را بصورت کامل اجرا کنند.
• CVE-2023-40285 و CVE-2023-40286 (CVSS scores: 8.6)
  دو آسیب‌پذیری XSS که به مهاجم و کاربران احرازهویت نشده اجازه می¬دهد تا کدهای جاوااسکریپت را با آلوده¬سازی کوکی‌های مرورگر یا ذخیره‌سازی محلی  اجرا کنند.
• CVE-2023-40289 (CVSS scores: 9.1)
  یک آسیب‌پذیری تزریق فرمان سیستم‌عامل  (تزریق دستورات OS و تزریق Shell) که امکان اجرای کدهای مخرب را برای کاربران عادی با امتیازات مدیریتی فراهم می‌کند.
• CVE-2023-40290 (CVSS scores: 8.3)
  یک آسیب‌پذیری XSS که به مهاجم و کاربران احرازهویت نشده اجازه می‌دهد تا از راه دور کدهای جاوااسکریپت دلخواه خود را با استفاده از مرورگر Internet Explorer 11 در ویندوز  اجرا کنند.

در تحلیل‌های فنی که توسط Binarly صورت گرفته است آسیب‌پذیری CVE-2023-40289 را با شدت بحرانی در نظر گرفته‌اند و علت آن است که این آسیب‌پذیری به مهاجم و کاربران عادی اجازه می‌دهد دسترسی root داشته باشند و بطور کامل سیستم BMC را در معرض خطر قرار خواهد داد. این دسترسی root باعث می‌شود حتی زمانی که مولفه BMC راه‌اندازی مجدد می‌شود حمله ادامه داشته و سایر نقاط پایانی نیز در معرض آلودگی قرار بگیرند.
شش آسیب‌پذیری دیگر نیز بطور خاص می‌توانند ایجاد حساب کاربری با امتیازات مدیریتی و دسترسی برای مولفه BMC IPMI را فراهم آورند.
در نهایت یک مهاجم می‌تواند از راه دور دستورات خود را تزریق کرده و آن‌ها را اجرا کند. در یک سناریو فرضی این عمل می‌تواند با استفاده از یک ایمیل فیشینگ که حاوی لینک و پیوند مخرب است، شروع شده و پی‌لود XSS را اجرا کند.

 محصولات تحت تأثیر
تمامی سروهای SuperMicro تحت تأثیر آسیب‌پذیری‌های مذکور قرار داشته و هرچه زودتر باید نصب به رفع آن‌ها اقدام شود.

منبع خبر:

Supermicro's BMC Firmware Found Vulnerable to Multiple Critical Vulnerabilities (thehackernews.com)

شرکت مایکروسافت جهت رفع دو آسیب‌پذیری روز صفر در مرورگر Edge با شناسه‌های CVE-2023-4863 و CVE-2023-5217، اقدام به انتشار به‌روز رسانی امنیتی فوری کرد که جزئیات این آسیب‌پذیری‌ها به شرح زیر ارائه شده است:

• CVE-2023-4863: این آسیب‌پذیری از نوع سرریز بافر می‌باشد که در کتابخانه  libwebpرخ می‌دهد. این کتابخانه در فرآیند کد کردن و بازگشایی کد تصاویر با فرمت WebP مورد استفاده قرار می‌گیرد. آسیب‌پذیری مذکور به مهاجم این امکان را می‌دهد تا بعد از  سرریز بافر، کد مخرب خود را به سیستم تزریق کند. این کتابخانه در مرورگرهای دیگری نظیر Safari، Mozilla  Firefoxو Opera  نیز مورد استفاده قرار گرفته و از این رو کاربران آن‌ها نیز ممکن است مورد هدف حملات قرار گیرند.
• CVE-2023-5217: این آسیب‌پذیری نیز از نوع سرریز بافر می‌باشد که در کتابخانه  libvpxرخ می دهد. این کتابخانه در فرآیند کد کردن و بازگشایی کد ویدئوها با دو فرمت VP9  وVP8  در نرم افزارهای پخش ویدئو مورد استفاده قرارمی‌گیرد. از این کتابخانه علاوه بر نرم‌افزارهای دسکتاپی پخش فیلم، در سکوهایی مانند Netflix، YouTube و Amazon Prime Video نیز استفاده شده است. این آسیب‌پذیری نیز همچون آسیب‌پذیری فوق الذکر این امکان را برای مهاجم فراهم خواهد آورد تا بعد از اجرای فرآیند سرریز بافر، کد مخرب خود را به سیستم تزریق کرده و از این طریق حملات خود را در سیستم قربانی پیاده‌سازی کند.

محصولات تحت تأثیر
از بین نرم‌افزارهای شرکت مایکروسافت، محصولات تحت تأثیر آسیب‌پذیری با شناسه CVE-2023-4863 می‌باشند:    

• Skype for Desktop
• Webp Image Extensions
• Microsoft Teams for Desktop

 مرورگر Edge نیز تحت تأثیر هر دوی این آسیب‌پذیری‌ها  قرار دارد.

توصیه‌های امنیتی
شرکت مایکروسافت جهت رفع این دو آسیب‌پذیری، به‌روزرسانی‌های امنیتی خود را منتشر و به کاربران توصیه کرده است پس از بررسی لینک زیر، هرچه سریع‌تر نسبت به به‌روزرسانی نرم¬افزارهای خود اقدامات لازم را انجام دهند:

https://msrc.microsoft.com/update-guide/vulnerability

 منابع خبر:

[1]https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-teams-get-fixes-for-zero-days-in-ope…
[2]https://msrc.microsoft.com/blog/2023/10/microsofts-response-to-open-source-vulnerabilities-cve-2023…

شرکت Qualcomm در خصوص سه آسیب‌پذیری روز صفر در درایورهای GPU و Compute DSP خود که مهاجمان در حال بهره‌برداری از آن‌ها هستند، هشدار داد. طبق اعلام گروه‌های امنیتی، تعدادی آسیب‌پذیری با شناسه‌های CVE-2023-33106، CVE-2023-33107، CVE-2022-22071 و CVE-2023-33063 ممکن است مورد هدف و بهره‌برداری قرار داشته باشند. شرکت Qualcomm اعلام کرد که وصله‌های امنیتی را برای برطرف کردن آسیب‌پذیری‌های موجود در درایورهای Adreno GPU و Compute DSP منتشر  و اطلاع رسانی کرده است.

آسیب‌پذیری با شناسه CVE-2022-22071 که قبلا در مه 2022 افشاء شد در سیستم امتیازدهی CVSS v3.1 دارای شدت 8.4 می‌باشد و از نوع use after free است که چیپ‌هایی همچون SD855، SD865 5G و SD888 5G را تحت تاثیر قرار می‌دهد. Qualcomm هنوز جرئیاتی در خصوص سه آسیب‌پذیری CVE-2023-33106، CVE-2022-22071 و CVE-2023-33063 که در حال حاضر در حال بهره‌برداری هستند منتشر نکرده است و اطلاعات بیشتر در بیانیه‌ای در دسامبر 2023 منتشر خواهد.

• آسیب‌پذیری با شناسه CVE-2023-24855 و شدت 9.8 که از نوع تخریب حافظه یا Memory corruption است در مولفه مودم Qualcomm هنگام پردازش پیکربندی‌های مربوط به امنیت قبل از AS Security Exchange رخ می‌دهد.
• آسیب‌پذیری دیگر با شناسه CVE-2023-28540 و شدت 9.1 یک نقص رمزنگاری در مولفه Data Modem است که ناشی از احراز هویت نامناسب در مرحله TLS handshake می‌باشد.
• آسیب‌پذیری CVE-2023-33028 با شدت 9.8 از نوع تخریب حافظه یا Memory corruption در میان‌افزار WLAN بوده و هنگام کپی کردن حافظه موقت pmk به دلیل عدم بررسی سایز آن اتفاق می‌افتد.

در کنار این آسیب‌پذیری‌ها Qualcomm وجود سیزده آسیب‌پذیری با شدت بالا را اعلام کرده است و سه آسیب‌پذیری بحرانی دیگر نیز توسط مهندسان این شرکت کشف شده‌اند. از آنجایی که سه آسیب‌پذیری CVE-2023-24855، CVE-2023-2854 و CVE-2023-33028 هنوز از راه دور قابل بهره‌برداری هستند، از نظر امنیتی بحرانی محسوب می‌شوند ولی شواهدی مبنی بر سوء استفاده از آن‌ها کشف نشده است. کاربران باید به محض انتشار به روزرسانی‌های امنیتی توسط کانال‌های OEM نسبت به نصب وصله‌ها اقدام نمایند.
برای بهره‌برداری از آسیب‌پذیری‌های موجود در درایورها معمولاً به دسترسی لوکال نیاز است، که عمدتاً از طریق آلودگی به بدافزار به دست می‌آید، بنابراین صاحبان دستگاه‌های اندرویدی باید تنها نسبت به نصب نرم‌افزار از منابع معتبر اقدام نمایند.
منابع خبر:

https://www.bleepingcomputer.com/news/security/qualcomm-says-hackers-exploit-3-zero-days-in-its-gpu…
https://docs.qualcomm.com/product/publicresources/securitybulletin/october-2023-bulletin.html

شرکت ARM با انتشار یک توصیه امنیتی از وجود یک آسیب‌پذیری در درایورهای Mali GPU خبر داد که احتمال دارد در حملات محدود مورد بهره‌برداری قرار گرفته باشد. این آسیب‌پذیری توسط گروه تحلیل تهدید گوگل (TAG) به ARM گزارش شده و شناسه CVE-2023-4211 با شدت متوسط (5.5) به آن اختصاص داده شده است. آسیب‌پذیری مذکور از نوع دسترسی نامناسب به حافظه آزاد (freed memory) بوده که امکان دسترسی به داده‌های حساس و تغییر آن‌ها را برای یک کاربر محلی غیرمجاز فراهم می‌کند. دسترسی به قسمتی از حافظه سیستم که دیگر در حال استفاده نیست، یک روش رایج جهت فراخوانی کدهای مخرب در مکانی از حافظه است که مهاجم امکان اجرای آن‌ها را دارد. این کد معمولاً شامل اکسپلویت‌هایی برای سایر آسیب‌پذیری‌ها و یا payload های مخرب جهت جاسوسی از گوشی همراه کاربران است. جزئیات بیشتری از این آسیب‌پذیری منتشر نشده است.

محصولات تحت تأثیر
نسخه‌های درایور زیر تحت تاثیر این آسیب‌پذیری قرار دارند:
•    Midgard GPU kernel driver: تمام نسخه‌ها از r12p0 تا r32p0
•    Bifrost GPU kernel driver: تمام نسخه‌ها از r0p0 تا r42p0
•    Valhall GPU kernel driver: تمام نسخه‌ها از r19p0 تا r42p0
•    Arm 5th Gen GPU architecture kernel driver: تمام نسخه‌ها از r41p0 تا r42p0

سری‌های Midgard، Bifrost و Valhall به ترتیب در سال 2013، 2016 و 2019 معرفی شده‌اند بنابراین مربوط به مدل‌های قدیمی دستگاه‌ها هستند. دستگاه‌های محبوب که از معماری Valhall استفاده می‌کنند (Mali-G77) شامل Samsung Galaxy S20/S20 FE، Xiaomi Redmi K30/K40، Motorola Edge 40 و OnePlus Nord 2 هستند. نسل پنجم معماری ARM در ماه می سال 2023 به بازار عرضه شد که از جمله چیپ‌های Mali-G720 و Mali-G620 در گوشی‌های هوشمند برتر و پرقدرت استفاده می‌شوند. GPU های Mali همچنین در Google Pixel، برخی دستگاه‌های اندرویدی و کروم‌بوک‌ها مورد استفاده قرار می‌گیرند.
فهرست برخی دستگاه‌های آسیب‌پذیر به شرح زیر می‌باشد:
•    Google Pixel 7
•    Samsung S20
•    Samsung S21
•    Motorola Edge 40
•    OnePlus Nord 2
•    Asus ROG Phone 6
•    Redmi Note 11
•    Redmi Note 12
•    Honor 70 Pro
•    RealMe GT
•    Xiaomi 12 Pro
•    Oppo Find X5 Pro
•    Reno 8 Pro
این آسیب‌پذیری در Bifrost، Valhall و نسل پنجم معماری GPU با درایور کرنل نسخه r43p0 (که در 24 مارس سال 2023 منتشر شده است) مورد توجه سازنده قرار گرفته است. سری Midgard دیگر پشتیبانی نمی‌شود و احتمالاً به‌روزرسانی برای این آسیب‌پذیری دریافت نمی‌کند.
در دسترس بودن وصله‌های امنیتی به سرعت سازندگان دستگاه و فروشنده در ارائه یک به‌روزرسانی قابل اطمینان بستگی دارد. از جایی که برخی پیچیدگی‌ها در زنجیره تامین وجود دارد، برخی کاربران وصله‌ها را زودتر دریافت می‌کنند. شرکت ARM به وجود چندین آسیب‌پذیری دیگر از جمله CVE-2023-33200 و CVE-2023-34970 اشاره کرده است که به کاربر غیر مجاز اجازه بهره‌برداری ازrace condition جهت انجام برخی عملیات جهت دسترسی به حافظه آزاد را می‌دهد.
این آسیب‌پذیری‌ها از طریق دسترسی محلی به یک دستگاه قابل بهره‌برداری هستند که این می‌تواند از طریق دانلود یک نرم‌افزار از فروشگاه‌های غیر رسمی نرم‌افزارها صورت پذیرد.

منابع خبر:

[1]https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities
[2] https://arstechnica.com/security/2023/10/vulnerable-arm-gpu-drivers-under-active-exploitation-patch…
[3]https://www.bleepingcomputer.com/news/security/arm-warns-of-mali-gpu-flaws-likely-exploited-in-targ…
[4]https://thehackernews.com/2023/10/arm-issues-patch-for-mali-gpu-kernel.html

مجموعه‌ای از آسیب‌پذیری‌های بحرانی تحت عنوان ShellTorch در ابزار هوش مصنوعی متن باز TorchServe کشف شده‌اند که ده‌ها هزار سرور متصل به اینترنت را تحت تاثیر قرار می‌دهند. برخی از این سرورها متعلق به شرکت‌های بزرگ می‌باشند. TorchServe که توسط Meta و Amazon توسعه داده می‌شود یک ابزار محبوب برای مقیاس‌پذیری و ارائه مدل‌های چارچوب یادگیری ماشین PyTorch است.
این کتابخانه معمولاً توسط افرادی که در حوزه هوش مصنوعی فعالیت می‌کنند استفاده می‌شود و در کنار کاربران آکادمیک، شرکت‌های بزرگی مانند Amazon، OpenAI، Tesla، Azure، Google و Intel از آن استفاده می‌کنند. نقص‌های TorchServe توسط تیم تحقیقات امنیتی Oligo کشف شده‌اند که می‌توانند منجر به دسترسی غیر مجاز به سرور و اجرای کد از راه دور بر روی نمونه‌های آسیب‌پذیر شوند.
اولین آسیب‌پذیری از نوع پیکربندی نامناسب رابط مدیریتی API است که بدون تصدیق هویت قابل بهره‌برداری است و باعث می‌شود پنل تحت وب به جای localhost به طور پیش‌فرض به 0.0.0.0 تنظیم شود که آن را در دسترس درخواست‌های از راه دور قرار می‌دهد. از آنجایی که رابط کاربری نیازی به تصدیق هویت ندارد، این اجازه دسترسی نامحدود به هر کاربری را می‌دهد و می‌تواند برای بارگزاری مدل‌های آلوده از آدرس‌های خارجی مورد استفاده قرار بگیرد.
نقص امنتی دوم که شناسه CVE-2023-43654 را به خود اختصاص داده و دارای شدت بحرانی 9.8 می‌باشد و یک آسیب‌پذیری جعل درخواست سمت سرور (SSRF) است که منجر به اجرای کد از راه دور می‌شود. در حالیکه API مربوط به TorchServe دارای یک لیست از دامنه‌های مجاز به دریافت فایل‌های پیکربندی مدل‌ها از یک URL راه دور است، مشخص شده که به طور پیش‌فرض تمام دامنه‌ها مورد پذیرش هستند که این باعث به وجود آمدن نقض SSRF می‌شود و به مهاجمان اجازه خواهد داد مدل‌های مخرب  خود را بارگزاری کرده و منجر به اجرای کد از راه دور بر روی سرور شوند.
سومین آسیب‌پذیری با شناسه CVE-2022-1471 دارای شدت بحرانی 9.8 می‌باشد و از نوع Java deserialization است که منجر به اجرای کد از راه دور می‌شود. به دلیل وجود deserialization غیر امن در کتابخانه SnakeYAML ، مهاجم می‌تواند یک مدل با فایل مخرب YAML را بارگزاری کند که منجر به اجرای کد از راه دور شود.
اگر یک مهاجم از این سه آسیب‌پذیری بهره‌برداری کند، به راحتی می‌تواند یک سیستم که نسخه آسیب‌پذیر TorchServe روی آن در حال اجرا است را تحت کنترل خود درآورد.
Oligo اعلام کرده که طی اسکن انجام شده جهت بررسی این آسیب‌پذیرها، ده‌ها هزار آدرس IP را شناسایی کرده است که در حال حاضر در برابر ShellTorch آسیب‌پذیر هستند که برخی از این سرورها متعلق به شرکت‌های بزرگ و بین المللی هستند.

محصولات تحت تأثیر
سه آسیب‌پذیری فوق الذکر که تحت عنوان ShellTorch شناخته می‌شوند نسخه‌های 0.3.0 تا 0.8.1 TorchServe را تحت تاثیر قرار می‌دهند.

توصیه‌های امنیتی
جهت برطرف کردن این آسیب‌پذیری‌ها، کاربران باید به نسخه 0.8.2 از TorchServe به‌روزرسانی نمایند. این به‌روزرسانی آسیب‌پذیری CVE-2023-43654 را برطرف نمی‌کند ولی یک هشدار در خصوص SSRF به کاربر نمایش می‌دهد. در مرحله بعدی اطمینان حاصل کنید که کنسول مدیریتی دارای پیکربندی درست باشد. در فایل config.properties مقدار management_address باید به http://127.0.0.1:8081 تنظیم شود. این باعث می‌شود که TorchServe فقط از localhost در دسترس باشد. و در آخرین مرحله اطمینان حاصل کنید که با به‌روزرسانی دامنه‌های قابل اطمینان در فایل config.properties و قسمت allowed_urls سرور مدل‌ها را از دامنه‌های مجاز دریافت کند:

allowed_urls=https://s3.amazonaws.com/.*,https://torchserve.pytorch.org/.*

 Oligo یک ابزار برای بررسی آسیب‌پذیری ShellTorch در گیت‌هاب منتشر کرده که از طریق لینک زیر قابل دسترس می‌باشد:

https://github.com/OligoCyberSecurity/ShellTorchChecker

منابع خبر:

https://www.bleepingcomputer.com/news/security/shelltorch-flaws-expose-ai-servers-to-code-execution…
https://aws.amazon.com/security/security-bulletins/AWS-2023-009/
https://pypistats.org/packages/torchserve
https://www.oligo.security/blog/shelltorch-torchserve-ssrf-vulnerability-cve-2023-43654