یک حمله سایبری جدید از اسکریپت PowerShell مرتبط با یک ابزار مورد استفاده تیم قرمز برای دزدیدن هش‌های  NTLMv2  از سیستم‌های ویندوز هک شده، کشف شده است.
فعالیت‌های این حمله توسط تیم تهدید ThreatLabz شرکت Zscaler با نام کد "Steal-It" شناسایی شده است.
 

شکل 1- تصویری از فرآیند حمله

ابزار قرمز یک مجموعه از ابزارها، تکنیک‌ها و روش‌های مورد استفاده در امنیت اطلاعات است که برای شناسایی ضعف‌ها و آسیب‌پذیری‌های سیستم‌ها و شبکه‌ها به منظور افزایش سطح امنیت از طریق شبیه‌سازی حملات سایبری استفاده می‌شود. این نوع ابزارها و تکنیک‌ها توسط افراد یا تیم‌های امنیتی با اجازه و اهداف مشخصی تحت عنوان «قرمز تیمینگ» یا «تیم تهاجمی» مورد استفاده قرار می‌گیرند.
هش‌های NTLMv2 (NT Lan Manager version 2) یک نوع رمزنگاری است که در سیستم عامل ویندوز برای احراز هویت و دسترسی کاربران به منابع شبکه استفاده می‌شود. این هش‌ها برای ارسال و دریافت اطلاعات احراز هویت کاربران از سیستم‌های ویندوز به کمک پروتکل NTLM (NT Lan Manager) به‌کار می‌روند.
استفاده از هش‌های NTLMv2 در سیستم‌های ویندوز به عنوان یکی از مکانیزم‌های امنیتی احراز هویت معمولی است. با این حال، مهاجمان ممکن است سعی کنند این هش‌ها را برای حملات خود به‌کار بگیرند. Nishang یک چارچوب و مجموعه‌ای از اسکریپت‌ها و بارهای PowerShell برای امنیت تهاجمی، تست نفوذ و تیم قرمز می‌باشد.
 

شکل 2- تصویری از فرآیند چارچوب

این حملات از یک تا پنج زنجیره آلودگی مختلف بهره می‌برند، اگرچه همه آنها از ایمیل‌های فیشینگ حاوی فایل‌های ZIP به عنوان نقطه شروع برای نفوذ به اهداف خاص با استفاده از تکنیک‌های جغرافیایی بهره‌بری می‌کنند:
- زنجیره آلودگی سرقت هش NTLMv2 که از نسخه سفارشی از اسکریپت PowerShell Start-CaptureServer گفته شده برای جمع‌آوری هش‌های NTLMv2 استفاده می‌کند.
- زنجیره آلودگی سرقت اطلاعات سیستم که با استفاده از ویژگی‌های OnlyFans کاربران را به دانلود یک فایل CMD ترغیب می‌کند که اطلاعات سیستم را برمی‌دارد.
- زنجیره آلودگی Fansly whoami که از تصاویر واضح مدل‌های Fansly برای جلب کاربران به دانلود یک فایل CMD ترغیب می‌کند که نتایج دستور whoami را انتقال می‌دهد.
- زنجیره آلودگی به‌روزرسانی ویندوز که به‌کاربران حمله می‌کند و از اسکریپت‌های جعلی به‌روزرسانی ویندوز طراحی شده برای اجرای دستورات مانند tasklist و systeminfo استفاده می‌کند.

توصیه‌های امنیتی

1. به‌روزرسانی سیستم‌ها: اطمینان حاصل کنید که سیستم‌های شما با آخرین به‌روزرسانی‌ها و پچ‌های امنیتی ارائه‌شده توسط تولیدکنندگان نرم‌افزارها و سیستم‌عامل‌ها به‌روز باشند. این کار به شما کمک می‌کند تا آسیب‌پذیری‌های معروفی که توسط حملات از نوع Steal-It بهره‌برداری می‌شوند، رفع شوند.
2. محدود کردن دسترسی به PowerShell: محدود کردن دسترسی به PowerShell برای کاربران معمولی و تنظیم سیاست‌های اجرای اسکریپت‌ها در PowerShell می‌تواند از اجرای اسکریپت‌های مخرب جلوگیری کند. همچنین، مطمئن شوید که اسکریپت‌های PowerShell فقط از منابع معتبر و امن اجرا می‌شوند.
3. رصد ترافیک شبکه: از رصد ترافیک شبکه با استفاده از ابزارهای امنیتی مختلف مانند SIEM (سیستم مدیریت اطلاعات و رویدادهای امنیتی) و IDS/IPS (سیستم‌های تشخیص نفوذ و جلوگیری از نفوذ) استفاده کنید.
4. توانایی تشخیص اسکریپت‌های مخرب: ابزارهای تشخیص اسکریپت‌های مخرب (مثل Antivirus و EDR) را روی سیستم نصب کنید تا اسکریپت‌های مشکوک را تشخیص داده و جلوی اجرای آن‌ها را بگیرید.

منبع خبر:

https://thehackernews.com/2023/09/cybercriminals-using-powershell-to.html

سیسکو درباره یک آسیب‌پذیری روز صفر CVE-2023-20269 در Cisco Adaptive Security Appliance (ASA) و Cisco Firepower Threat Defense (FTD) هشدار می‌دهد که به طور فعال توسط عملیات باج‌افزار برای دسترسی اولیه به شبکه‌های شرکتی اکسپلویت شده است.
آسیب‌پذیری روز صفر با شناسه CVE-2023-20269 و شدت متوسط، ویژگی VPN سیسکو ASA و Cisco FTD را تحت تأثیر قرار می‌دهد و به مهاجمان غیرمجاز از راه دور اجازه می‌دهد تا حملات  brute force  علیه حساب‌های موجود انجام دهند.  مهاجمان با دسترسی به حساب ها می‌توانند یک جلسه SSL VPN بدون کلاینت را در شبکه سازمان نقض شده ایجاد کنند، که بسته به پیکربندی شبکه قربانی می‌تواند پیامدهای متفاوتی داشته باشد.
این آسیب پذیری در رابط خدمات وب دستگاه های Cisco ASA وCisco FTD، به ویژه عملکردهایی که با توابع احراز هویت، مجوز و حسابداری (AAA) مرتبط هستند، قرار دارد. آسیب پذیری به دلیل جداسازی نادرست عملکردهای AAA و سایر ویژگی های نرم افزار ایجاد می شود و منجر به سناریوهایی می‌شود که در آن مهاجم می تواند درخواست‌های تایید هویت را به رابط خدمات وب ارسال کند تا بر مؤلفه‌های مجوز تأثیر بگذارد یا آنها را به خطر بیاندازد.
 از آنجایی که این درخواست‌ها هیچ محدودیتی ندارند، مهاجم می‌تواند با استفاده از ترکیب‌های نام کاربری و رمز عبور بی‌شماری، بدون محدود کردن نرخ یا مسدود شدن برای اکسپلویت آسیب پذیری ها، اعتبارنامه‌های اجباری را اکسپلویت کند.
سیسکو یک به‌روزرسانی امنیتی را برای آسیب پذیری CVE-2023-20269 منتشر می‌کند، اما تا زمانی که اصلاحات در دسترس نباشد، به مدیران سیستم توصیه می‌کند از DAP (سیاست های دسترسی پویا) برای متوقف کردن تونل های VPN با DefaultADMINGroup یا DefaultL2LGroup استفاده کنند. با تنظیم vpn-simultaneous-logins برای DfltGrpPolicy روی صفر و اطمینان از اینکه تمام نمایه های جلسه VPN به یک خط مشی سفارشی اشاره می کنند، دسترسی را با خط مشی پیش فرض گروه مسدود کنند. محدودیت‌های پایگاه داده کاربر محلی را، با قفل کردن کاربران خاص در یک نمایه، با گزینه قفل گروهی اعمال کنند و با صفر کردن ورودی های مجازی vpn از تنظیمات VPN جلوگیری کنند.  سیسکو همچنین توصیه می‌کند که پروفایل‌های VPN با دسترسی از راه دور پیش‌فرض را با نشان دادن تمام پروفایل‌های غیرپیش‌فرض، به یک سرور AAA حفره‌ای (سرور LDAP ساختگی) و فعال کردن گزارش‌گیری برای شناسایی زودهنگام حملات احتمالی، ایمن کنند.
در نهایت، به این نکته توجه داشته باشیم که احراز هویت چند عاملی (MFA) خطر را کاهش می‌دهد، زیرا حتی اعتبارنامه‌های اجباری حساب با موفقیت برای ربودن حساب‌های ایمن MFA و استفاده از آنها برای ایجاد اتصالات VPN کافی نیست.
منابع خبر

 Notepad++ نسخه 8.5.7 با اصلاحاتی برای سرریز چند بافر در روز صفر منتشر شده است، که یکی از آنها منجر به اجرای کد با فریب کاربران، برای باز کردن فایل‌های ساختگی علامت‌گذاری شده است.
Notepad++  یک ویرایشگر کد منبع رایگان محبوب است که از بسیاری از زبان های برنامه نویسی پشتیبانی می کند و می تواند از طریق افزونه ها گسترش یابد و ویژگی های افزایش بهره وری، مانند ویرایش چند زبانه و برجسته سازی نحو را ارائه دهد. آسیب‌پذیری‌های کشف‌شده شامل سرریزهای نوشتن و خواندن بافر پشته در توابع و کتابخانه‌های مختلف مورد استفاده Notepad++ است.
شدیدترین این آسیب پذیری ها CVE-2023-40031 است که امتیاز 7.8 (بالا) به آن اختصاص داده شده است که منجر به اجرای کد می شود. سه آسیب پذیری دیگر، با شناسه های CVE-2023-40163، CVE-2023-40033، CVE-2023-40166 با شدت متوسط (5.5) هستند که ممکن است برای افشای اطلاعات تخصیص حافظه داخلی مورد استفاده قرار گیرند. نسخه‌های 8.5.6 و نسخه‌های قبلی در برابر سرریز خواندن بافر پشته‌ای در «FileManager::detectLanguageFromTextBegining» آسیب‌پذیر هستند .از زمان انتشار، هیچ وصله شناخته شده ای در نسخه های موجود Notepad++ موجود نیست. در حال حاضر Notepad++ نسخه 8.5.7، برای رفع چهار آسیب پذیری و سایر اشکالات ذکر شده منتشر شده است و  باید در Changelog نصب شود. 
منابع خبر

نرم‌افزار مخرب Chaes به‌عنوان یک نسخه جدید و پیشرفته‌تر بازگشته است که شامل پیاده‌سازی سفارشی پروتکل Google DevTools برای دسترسی مستقیم به توابع مرورگر قربانی است، که به این نرم‌افزار اجازه می‌دهد از طریق WebSockets اطلاعات را سرقت کند. برای مطالعه بیشتر اینجا کلیک نمایید.

یک آسیب‌پذیری در سرویس تاریخچه فایل ویندوز اخیراً کشف شده است که می‌تواند توسط هکرها برای افزایش امتیازهای دسترسی در یک سیستم ویندوزی استفاده شود. این مشکل به مایکروسافت گزارش شده و پچ‌های لازم برای رفع این آسیب‌پذیری منتشر شده‌اند. تاریخچه فایل برای ویندوز یک ویژگی پشتیبان‌گیری و بازیابی است که به‌طور خودکار اطلاعات موجود در کتابخانه‌ها، دسکتاپ، پوشه‌های مورد علاقه و غیره را پشتیبان‌گیری می‌کند. همچنین این امکان وجود دارد که اطلاعات منابع خارجی مانند USB، فلش درایو یا هارد دیسک هم پشتیبان‌گیری شود. این آسیب پذیری با شناسه CVE-2023-35359 ثبت گردیده است. برای مطالعه بیشتر اینجا کلیک نمایید.
 

یک آسیب‌پذیری روز صفر (zero-day) در Atlas VPN که بر روی کاربران لینوکس تاثیر دارد، اطلاعات واقعی IP کاربر را به‌راحتی توسط بازدید از یک وب‌سایت فاش می‌کند. Atlas VPN یک محصول وی‌پی‌ان (VPN) است که یک راه‌حل اقتصادی بر پایه WireGuard ارائه می‌دهد و تمامی سیستم‌عامل‌های اصلی را پشتیبانی می‌کند. AtlasVPN، که یک دیمون را در سیستم‌عامل لینوکس اجرا می‌کند، همچنین یک سرور HTTP برای پذیرش دستورات رابط خط فرمان (CLI) اجرا می‌کند. این پیش‌فرض با 127.0.0.1:8076 متصل است. مشخص شد که این سرور HTTP هنگام اجرای دستورات هیچ احراز هویتی ندارد. سرور HTTP انتهای 127.0.0.1:8076/connection/stop را اجرا می‌کند که می‌تواند یک درخواست POST را دریافت کند. این کار می‌تواند برای قطع اتصال AtlasVPN استفاده شود.
در یک نمونه عملی از (exploit) به اشتراک گذاشته شده در Reddit، یک محقق توضیح داده است که کلاینت لینوکس Atlas VPN، به خصوص آخرین نسخه 1.0.3، یک نقطه پایان واسط برنامه‌نویسی (API) دارد که در localhost (127.0.0.1) به پورت 8076 گوش می‌دهد. این API یک رابط خط فرمان (CLI) برای انجام اقدامات مختلف ارائه می‌دهد، مانند قطع اتصال یک جلسه وی‌پی‌ان با استفاده از آدرس http://127.0.0.1:8076/connection/stop. با این حال، این API هیچ احراز هویتی انجام نمی‌دهد و به هر کسی اجازه می‌دهد تا دستوراتی به CLI صادر کند، حتی وب‌سایتی که شما دارید بازدید می‌کنید. یک کاربر Reddit به نام 'Educational-Map-8145' یک آسیب پذیری PoC را در Reddit منتشر کرد که از API لینوکس Atlas VPN برای فاش کردن IP واقعی کاربر استفاده می‌کند.
این PoC یک فرم مخفی ایجاد می‌کند که به‌صورت خودکار توسط جاوااسکریپت بهURL http://127.0.0.1:8076/connection/stop ارسال می‌شود. وقتی به این URL دسترسی داده می‌شود، به طور خودکار جلسات فعال Atlas VPN را که آدرس IP کاربر را مخفی می‌کنند، قطع می‌کند. پس از قطع شدن اتصال وی‌پی‌ان، PoC به URL api.ipify.org متصل می‌شود تا IP واقعی بازدیدکننده را ثبت کند.
این موضوع، نقض جدی حریم خصوصی برای هر کاربر وی‌پی‌ان است چرا که موقعیت فیزیکی تقریبی و آدرس IP واقعی او را نمایش می‌دهد و به او اجازه می‌دهد که رهگیری شود و یکی از دلایل اصلی استفاده از وی‌پی‌ان را نقض می‌کند.
این PoC از تراز (Cross-Origin Resource Sharing) CORS موجود در مرورگرهای وب عبور می‌کند زیرا درخواست‌ها به API لینوکس Atlas VPN به عنوان درخواست فرم ارسال می‌شوند. مکانیسم CORS یا "Cross-Origin Resource Sharing" یک مکانیسم امنیتی در مرورگرهای وب است که تاکید دارد، درخواست‌ها از یک دامنه مخصوص به دامنه‌ای دیگر باید محدود شوند. با این حال، تعریف می‌کند که درخواست‌هایی که به عنوان «درخواست‌های ساده» شناخته می‌شوند، معاف از این محدودیت هستند. درخواست‌های ساده به درخواست‌هایی اشاره دارد که از متد‌های HTTP معمولی مانند GET، POST، یا HEAD استفاده می‌کنند و از هدرهای خاصی مثل `Content-Type` استفاده نمی‌کنند. این درخواست‌ها به‌طور معمول از دامنه مبدا به دامنه مقصد ارسال می‌شوند و توسط مرورگر تشخیص داده می‌شوند که به عنوان درخواست‌های ساده شناخته می‌شوند. به‌عبارت دیگر، آن‌ها از معماری مرورگر برای اجرای درخواست‌های متقابل دامنه‌ای به دامنه‌های مختلف استفاده می‌کنند.
درخواست‌های فرم به عنوان «درخواست‌های ساده» در محدودیت‌های CORS معاف هستند. به‌عبارت دیگر، اگر یک وب‌سایت درخواست فرمی را ارسال کند، این درخواست ممکن است به دامنه دیگری ارسال شود (مثلاً به دامنه localhost با پورت 8076 در مورد متن اصلی) و مرورگر این درخواست را به‌عنوان درخواست ساده در نظر می‌گیرد. این می‌تواند برای اجرای درخواست‌های از راه دور به منابع مختلف بدون محدودیت اجازه دهد که در مورد آسیب‌پذیری امنیتی (که در متن مطرح شده است)، به واقعیت منجر شود.
کاربر Reddit ادعا کرده است که با مسئولان Atlas VPN در مورد مشکل تماس گرفته ولی نادیده گرفته شده و از آنجایی که شرکت برنامه پاداشی برای یافتن آسیب‌پذیری در نظر نداشت، افشای عمومی تنها گزینه منطقی باقی مانده بود. Atlas VPN در نهایت چهار روز پس از افشای مشکل به آن پاسخ داد و از گزارش‌دهنده عذرخواهی کرده و قول داده است که به زودی یک رفع مشکل برای کلاینت لینوکس خود منتشر خواهد کرد. همچنین، کاربران لینوکس به محض انتشار به روزرسانی مطلع خواهند شد.
سخنگوی Atlas VPN پیام زیر را ارسال کرده است: «ما از آسیب‌پذیری امنیتی که بر روی کلاینت لینوکس Atlas VPN ما تأثیر می‌گذارد، آگاه هستیم. ما امنیت و حریم خصوصی کاربران را بسیار جدی می‌گیریم. بنابراین، ما در حال کار برای رفع آن هستیم. پس از حل مشکل، کاربران ما در رابطه با بروزرسانی نرم‌افزار لینوکس خود آگاه خواهند شد.»
با توجه به اهمیت حیاتی این آسیب‌پذیری روز صفر که تا زمان انتشار یک پچ هنوز قابل بهره‌برداری است، به کاربران کلاینت لینوکس Atlas VPN به شدت توصیه می‌شود تا اقدامات فوری ایمنی را انجام دهند، از جمله در نظر گرفتن یک راه‌حل VPN جایگزین.
توصیه های امنیتی
1. به‌روزرسانی و دریافت نسخه جدید: اگر از AtlasVPN برای لینوکس استفاده می‌کنید، مطمئن شوید که نسخه جدیدتر و به‌روز شده را نصب کرده‌اید. گاهی اوقات تولیدکنندگان نرم‌افزارهای امنیتی پس از کشف آسیب‌پذیری‌ها پچ‌ها و به‌روزرسانی‌هایی منتشر می‌کنند تا مشکلات امنیتی را برطرف کنند.
2. محدود کردن دسترسی به API: اگر امکان استفاده از AtlasVPN API در یک محیط محدود دارید، تنظیمات سرور را طوری تنظیم کنید که فقط از دامنه‌ها یا مکان‌های امنیتی خاصی دسترسی داشته باشد. این کار می‌تواند مسائل امنیتی را کاهش دهد.
3. پیکربندی درست CORS: اگر شما مسئول پیکربندی وب‌سایت‌ها هستید و از امکانات CORS برای محافظت از منابع خود در برابر درخواست‌ها از دامنه‌های مختلف استفاده می‌کنید، مطمئن شوید که پیکربندی CORS به‌درستی انجام شده باشد و درخواست‌هایی را که نباید به دامنه‌های دیگر دسترسی داشته باشند، محدود کنید.
4. استفاده از یک راه‌حل VPN جایگزین: اگر نگران امنیت AtlasVPN برای لینوکس هستید، می‌توانید به دنبال راه‌حل‌های VPN دیگری باشید که امنیت بیشتری ارائه می‌دهند و از آسیب‌پذیری‌های امنیتی جلوگیری می‌کنند.
منبع خبر

یک آسیب‌پذیری با شدت بالا در PHPFusion کشف شده است. PHPFusion یک سیستم مدیریت محتوای منبع باز (CMS) است که توسط بیش از 15 میلیون وب‌سایت در سراسر جهان برای مدیریت و سفارشی‌سازی محتوا و طراحی‌های خود استفاده می‌شود. این آسیب‌پذیری شناسایی شده که با نام (CVE-2023-2453) ثبت شده، ممکن است منجر به اجرای کد از راه دور (RCE) شود، به این معنی که یک مهاجم می‌تواند به سیستم هدف دسترسی پیدا کرده و دستورات مخرب را اجرا کند. مرکز تحقیقات امنیت سایبری سینوپسیس (CyRC) که این آسیب‌پذیری را کشف کرده است، هشدار داد که در حال حاضر هیچ پچی برای اصلاح این آسیب‌پذیری وجود ندارد و همچنین آگاهی از هیچ برنامه‌ای از سوی صاحبان پروژه برای ایجاد پچ اعلام نشده است. CVE-2023-2453 بر روی نسخه 9.10.30 و نسخه‌های قدیمی‌تر PHPFusion تأثیر می‌گذارد. این آسیب‌پذیری دارای امتیاز پایه CVSS 8.3 است، که یک امتیاز با شدت «بالا» است.
خطر سرقت اطلاعات
این آسیب‌پذیری ناشی از عدم تمیزکاری کافی نام‌های فایل آلوده است که به‌صورت مستقیم به یک مسیر افزوده می‌شوند و سپس به یک دستور 'require_once' منتقل می‌شوند. با توجه به این موضوع، مهاجم فایل‌های خودسرانه با پسوند '.php' را که مسیر مطلق آن‌ها برای اجرا شناخته شده است، وارد و اجرا کند. این یک آسیب‌پذیری امنیتی است که ناشی از نبود مکانیزم مناسب برای نام فایل‌هاست. وقتی که نام‌های فایل‌ها به صورت مستقیم به یک مسیر افزوده می‌شوند و سپس در یک دستور به نام 'require_once' یا مشابه آن منتقل می‌شوند، می‌توان به راحتی تزریق کد مخرب به سیستم یا برنامه‌ای که از این فایل‌ها استفاده می‌کند، انجام داد. برای مثال، یک مهاجم می‌تواند یک فایل با پسوند '.php' را با نام مخربی که به صورت مستقیم به یک مسیر اضافه می‌شود، ایجاد کند. سپس با فراخوانی دستور 'require_once'، این فایل مخرب به اجرا درآید. اگر نام فایل‌ها به درستی تمیزکاری نشده باشد و اجازه ورود فایل‌های ناامن به سیستم داده شود، مهاجم می‌تواند کد خبیثی را اجرا کرده و به سیستم دسترسی یابد یا به اطلاعات حساس دست پیدا کند. برای جلوگیری از این نوع آسیب‌پذیری‌ها، باید نام‌های فایل‌ها و مسیرهایی که به صورت دینامیک به آن‌ها ارجاع داده می‌شود، به دقت تعریف شوند تا فقط فایل‌های معتبر و ایمن به سیستم افزوده شوند. همچنین، بهتر است از روش‌های امن‌تر برای اجرای فایل‌ها مانند استفاده از مکانیزم‌های مجازی‌سازی یا فیلترهای امنیتی استفاده کرد تا آسیب‌پذیری‌های امنیتی کاهش یابند.
برای بهره‌برداری از این آسیب‌پذیری، مهاجم باید دسترسی «عضو»، «مدیر» یا «مدیر برتر» داشته باشد. سپس می‌توانند یک درخواست HTTP GET با فرمت ارسال کننده به یک نقطه‌پایان در فروم ارسال کنند که پارامتر آسیب‌پذیر حاوی دنباله‌های رفتن به سرچشمه است تا فایل‌های '.php' خودسرانه را در سیستم عامل زیرین وارد و اجرا کنند.
پژوهشگران تأکید کردند که هیچ وسیله‌ای در PHPFusion وجود ندارد که مهاجم بتواند یک فایل حمله‌ای با پسوند '.php' بارگذاری کرده و هدف گیری کند. زیرا هیچ پچی برای این آسیب‌پذیری در دسترس نیست، هاگ به کاربران توصیه کرد که از طریق پنل مدیریتی فروم را غیرفعال کنند تا نقطه‌پایانی که از آن این آسیب‌پذیری بهره‌برداری می‌شود، حذف شود.
آسیب‌پذیری دوم کشف شده
تیم سینوپسیس یک آسیب‌پذیری دیگر در PHPFusion با شناسه CVE-2023-4480 کشف کرد، که یک آسیب‌پذیری خواندن فایل اختیاری تصدیق شده با شدت متوسط و محدودیت نوشتن فایل است. در این مورد، حمله‌کنندگان که با دسترسی مدیر یا مدیر برتر تصدیق شده‌اند، می‌توانند محتوای هر فایل روی سرور را بخوانند اگر مسیر مطلق آن مشخص و در دسترس کاربر باشد. هیچ پچی برای این آسیب‌پذیری در دسترس نیست و سینوپسیس به شرکت‌های تحت تأثیر توصیه می‌کند که از فناوری‌هایی مانند دیوار آتش برنامه‌های وب برای حفاظت خود استفاده کنند.
توصیه‌های امنیتی
1. اعمال محدودیت دسترسی: در صورت امکان، دسترسی به پنل مدیریتی PHPFusion را برای کاربران غیرضروری محدود کنید و فقط به افرادی که نیازمند دسترسی مدیر هستند، اجازه دسترسی دهید.
2. غیرفعال‌سازی Infusion مشکوک: در این مورد، Infusion "Forum" به عنوان نقطه ضعف مشخص شده است. به از بین بردن یا غیرفعال‌سازی این Infusion از طریق پنل مدیریتی PHPFusion می‌توانید مسیر اصلی این آسیب‌پذیری را ببندید.
3. استفاده از Web Application Firewall (WAF): اگر غیرفعال‌سازی Infusion ممکن نیست، ممکن است از فایروال برنامه‌های وب (Web Application Firewall) به عنوان یک لایه اضافی از دفاع در برابر تلاش‌های نفوذ استفاده کنید. این فایروال ممکن است تلاش‌های حمله را فیلتر کند و سعی در اجرای کد مخرب را متوقف کند. 

منبع خبر

شرکت Apple به‌روزرسانی‌های امنیتی اضطراری را برایiOS، iPadOS،  macOS و watchOS منتشر کرد تا دو آسیب پذیری روز صفر را که برای ارائه نرم‌افزار Pegasus  گروه NSO اکسپلویت شده اند را برطرف کند.
این دو آسیب پذیری با عنوان CVE-2023-41064 و CVE-2023-41061 ارزیابی شده اند. این اکسپلویت شامل پیوست‌های PassKit بود که حاوی تصاویر مخربی بود که از یک حساب کاربری iMessage  مهاجم برای قربانی ارسال می‌شد. زنجیره اکسپلویت قادر بود آیفون هایی را که آخرین نسخه iOS (16.6) را اجرا می کردند، بدون هیچ گونه تعاملی از جانب قربانی به خطر بیندازد. آسیب پذیری با شناسه CVE-2023-41061، یک مشکل اعتبار سنجی در Wallet است که می تواند منجر به اجرای کد، هنگام مدیریت یک پیوست ساخته شده مخرب شود.
آسیب پذیری با شناسه CVE-2023-41064، یک مشکل سرریز بافر در مؤلفه Image I/Oاست که می تواند منجر به اجرای کد، هنگام پردازش یک تصویر ساخته شده به طور مخرب شود.
این آسیب پذیری نسخه iPhone 8 و بعدتر، همه مدل های iPad Pro،  iPad Air 3rd و بعدتر، macOS Ventura، Apple Watch Series4  و بعدتر را تحت تاثیر گذاشته است.
از مشتریان اپل خواسته شده است، فوراً دستگاه های خود را به روزرسانی کنند و از افرادی که به دلیل هویت یا حرفه خود در معرض حملات هدفمند قرار دارند، درخواست شده است حالت   Lockdown  را فعال کنند.
منابع خبر

یک آسیب‌پذیری در پیاده‌سازی  SSO در پلتفرم‌های BroadWorks Application Delivery و BroadWorks Xtended Services  سیسکو شناسایی شده است که ممکن است این امکان را برای یک مهاجم از راه دور و احراز هویت نشده فراهم سازد تا به یک سیستم آسیب‌پذیر دسترسی پیدا کند. این نقص که با شناسه CVE-2023-20238 و شدت 10.0 ردیابی می‌شود، به دلیل روشی است که برای اعتبارسنجی توکن‌های SSO استفاده می‌شود. مهاجم می‌تواند با احراز هویت در اپلیکیشن BroadWorks با اعتبار جعلی، از این آسیب‌پذیری بهره‌برداری کند. با یک اکسپلویت موفق مهاجم می‌تواند موفق به اجرای دستورات در سطح امتیاز حساب جعلی خود شود. اگر این حساب جعلی، حساب Administrator باشد، مهاجم می‌تواند اطلاعات محرمانه را مشاهده کند و تنظیمات customer یا سایر کاربران را تغییر دهد. برای بهره‌برداری از این آسیب‌پذیری، مهاجم به یک ID یا شناسه کاربری نیاز دارد که با سیستم آسیب‌دیده BroadWorks مرتبط باشد. بهره‌برداری از این آسیب‌پذیری از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و سوء‌استفاده از آن نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان  به شرایط خاصی  نیاز  نیست(AC:L). برای انجام حمله نیز به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N). سوء‌استفاده از آن، بر منابع مدیریت‌شده توسط سایر مراجع امنیتی تأثیر نمی‌گذارد (S:C). در بدترین شرایط (قربانی شدن کاربری با سطح دسترسی ادمین) و با سوء‌استفاده از این نقص امینتی، هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).
در صورتی که دو پلتفرم BroadWorks Application Delivery و BroadWorks Xtended Services، یک نسخه آسیب‌پذیر از BroadWorks را اجرا کنند و یکی از برنامه‌های کاربردی زیر را فعال کنند، تحت تاثیر این نقص قرار می‌گیرند:

•    BWCallCenter

سیسکو همچنین تایید کرده است که این آسیب‌پذیری محصولات زیر را تحت تاثیر قرار نمی‌دهد:

توصیه‌های امنیتی
برای رفع این نقص، سیسکو SMUهای زیر را منتشر کرده است و به کاربران توصیه می‌کند تا در اسرع وقت به‌روزرسانی‌های امنیتی را اعمال کنند.

منابع خبر

آسیب پذیری های Apache Superset سرورها را در معرض حملات اجرای کد از راه دور قرار می دهد. برای رفع دو آسیب پذیری امنیتی جدید، وصله هایی در Apache Superset منتشر شده اند که می توانند توسط مهاجم برای اجرای کد از راه دور در سیستم های آسیب پذیر اکسپلویت شوند. 
آسیب پذیری CVE-2023-39265 نسخه 2.1.1 و CVE-2023-37941 انجام عملیات تهاجمی را برای یک مهاجم که به کنترل پایگاه داده دسترسی دارد، ممکن می سازد. آخرین نسخه Superset، یک آسیب پذیری مجزای REST API نادرست (CVE-2023-36388) را برطرف می کند که به کاربران با دسترسی پایین اجازه می دهد، حملات جعلی درخواست سمت سرور(SSRF) انجام دهند. اگر مهاجم به پایگاه داده Apache Superset دسترسی داشته باشد، با استفاده از CVE-2023-37941 می‌تواند یک شی پایتون ساخته شده را ایجاد کند که ممکن است منجر به اجرای کد از راه دور در وب Superset شود. این آسیب پذیری نسخه  1.5.0 تا  Apache Superset 2.1.0را تحت تأثیر قرار می دهد.
آسیب پذیری CVE-2023-39265 به اتصالات پایگاه داده SQLite اجازه می دهد، زمانی که مهاجم از نام های درایور جایگزین مانند sqlite+pysqlite یا با استفاده از وارد کردن پایگاه داده استفاده می کند، به اشتباه ثبت شوند و امکان ایجاد فایل غیرمنتظره در وب سرورهای Superset را فراهم کنند. همچنین، اگر Apache Superset از پایگاه داده SQLite برای ابرداده های خود استفاده کند، می تواند منجر به آسیب پذیری های شدیدتری مربوط به محرمانه بودن و یکپارچگی شود. این آسیب‌پذیری در نسخه‌های Apache Superset تا2.1.0  وجود دارد.
این آسیب پذیری به یک مورد از  bypass URI  در هنگام اتصال به پایگاه داده SQLite  مربوط می شود و مهاجم می تواند دستورات دستکاری داده ها را اجرا کند.
همچنین، عدم تأیید اعتبار هنگام وارد کردن اطلاعات اتصال پایگاه داده SQLite از یک فایل ردیابی می شود که می تواند برای وارد کردن یک فایل بایگانی  ZIP ساخته شده به طور مخرب اکسپلویت شود.

بر اساس طراحیSuperset ،کاربران با دسترسی بالا می توانند به پایگاه های داده متصل شوند و با استفاده از رابط قدرتمندSQLLab ، پرس و جوهای SQL  را در برابر آن پایگاه داده ها اجرا کنند.
اگر Superset بتواند به پایگاه داده ابرداده خود متصل شود، مهاجم می تواند مستقیماً پیکربندی برنامه را از طریق SQL Lab دستکاری کند و منجر به جمع آوری اعتبار و اجرای کد از راه دور شود.    

منابع خبر