وجود یک نقص امنیتی که به تازگی اصلاح‌شده در محصولات دات نت و ویژوال استودیو باعث شد تا مایکروسافت به کاتالوگ آسیب‌پذیری‌های مورد سوءاستفاده شناخته شده (KEV) اضافه شود. برای این منظور به شواهدی مبنی بر بهره‌برداری فعال از این آسیب پذیری استناد شده است. این نقص با شدت بالا که به‌عنوان CVE-2023-38180 ردیابی می‌شود (امتیاز CVSS: 7.5)، مربوط به یک مورد منع سرویس (DoS) است کهNET. و ویژوال استودیو را تحت تأثیر قرار می‌دهد. جزئیات دقیق مربوط به ماهیت بهره برداری این آسیب‌پذیری نامشخص است. سازنده ویندوز وجود یک اثبات مفهوم (PoC) را در توصیه‌نامه خود تصدیق کرده است. همچنین گفته است که حملاتی که از این نقص استفاده می‌کنند را می‌توان بدون هیچ‌گونه امتیاز اضافی یا تعامل کاربر انجام داد.
این شرکت گفت: «کد سوءاستفاده اثبات مفهومی در دسترس است، یا نمایش حمله برای اکثر سیستم‌ها عملی نیست. این کد یا تکنیک در همه موقعیت ها کاربردی نیست و ممکن است نیاز به اصلاح اساسی توسط یک مهاجم ماهر داشته باشد».
نسخه‌های تحت تأثیر این نرم افزار عبارتند از ASP.NET Core 2.1، .NET 6.0، .NET 7.0، Microsoft Visual Studio 2022 نسخه 17.2، Microsoft Visual Studio 2022 نسخه 17.4 و Microsoft Visual Studio 2022 نسخه 17.6. برای کاهش خطرات احتمالی، CISA به آژانس‌های شعبه اجرایی غیرنظامی فدرال(FCEB) توصیه کرده است تا 30 آگوست 2023 اصلاحات ارائه ‌شده توسط مایکروسافت را برای آسیب‌پذیری اعمال کنند.
منبع

آسیب‌پذیری بحرانی با شناسه CVE-2023-40013 و امتیاز 9.8 به مهاجم اجازه می‌دهد تا یک SVG مخرب ایجاد کند که می‌تواند منجر به اسکریپت بین سایتی (XSS) شود. 
SVG Loader  یک کتابخانه جاوا اسکریپت است که SVG ها را با استفاده از XMLHttpRequests واکشی می کند و کد SVG را در محل تگ تزریق می کند. طبق اسناد، svg-loader تمام کدهای JS را قبل از تزریق فایل SVG به دلایل امنیتی حذف می‌کند، اما منطق پاکسازی ورودی کافی نیست و می‌تواند به راحتی دور زده شود.
 کاربر مخرب می‌تواند یک SVG مخرب ایجاد کند که می تواند منجر به اسکریپت بین سایتی (XSS) شود. هنگام تلاش برای پاکسازی lib،svg  ویژگی‌های رویداد مانند  onmouseover،  onclick را حذف می‌کند. هر وب‌سایتی که از svg-loader استفاده می‌کند و به کاربران خود اجازه می‌دهد فایل‌هایsvg src، آپلود svg را ارائه دهند، در معرض حمله XSS ذخیره شده قرار خواهد گرفت.
این آسیب‌پذیری در commit 'd3562fc08' که در نسخه‌های1.6.9  گنجانده شده است، مشاهده شده است.
تا این لحظه هیچ راه‌حل شناخته ‌شده‌ای برای این آسیب‌پذیری وجود ندارد. به کاربران توصیه می‌شود که به آخرین نسخه ارتقا دهند. 
 منابع خبر

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-40013

[2] https://www.tenable.com/cve/CVE-2023-40013

یک آسیب‌پذیری RCE با عنوان CVE-2023-38408 در ویژگی  ssh-agent forwarding OpenSSH پیدا شده است. ویژگی PKCS#11 در ssh-agent در OpenSSH، دارای یک مسیر جستجوی غیر قابل اعتماد است که در صورت ارسال یک عامل به سیستم کنترل شده توسط مهاجم، منجر به اجرای کد از راه دور می شود. 
این آسیب‌پذیری به یک مهاجم با کنترل سوکت عامل ارسال شده روی سرور و توانایی نوشتن در سیستم فایل میزبان مشتری اجازه می‌دهد، تا کد خود را با دسترسی کاربری که عامل ssh را اجرا می‌کند، اجرا کند. OpenSSH یک پیاده سازی متن باز از پروتکل Secure Shell (SSH) است که مجموعه ای از خدمات را با هدف تسهیل ارتباطات رمزگذاری شده از طریق یک شبکه ناامن، در محیط سرویس گیرنده-سرور ارائه می دهد. به عنوان یک بخش حیاتی برای تعاملات شبکه ایمن، OpenSSH  برای استراتژی‌های امنیت سایبری سازمان های متعدد بسیار مهم است. 
ssh-agent با تسهیل تایید هویت کاربر از طریق مدیریت کلیدهای هویت و کلمه عبور، نقش مهمی ایفا می‌کند. ذخیره کلیدها در SSH-agent نیاز کاربران را برای وارد کردن مجدد رمز عبور یا عبارت عبور خود در هنگام ورود به سرورهای دیگر برطرف می کند و یک تجربه یکپارچه ثبت نام (SSO) را ایجاد می کند.
این آسیب‌پذیری در نسخ قبل از 9.3p2 مشاهده شده است.
اکسپلویت از راه دور، مستلزم آن است که عامل به یک سیستم کنترل شده توسط مهاجم ارسال شود. با راه‌اندازی ssh-agent(1) با یک لیست مجاز PKCS#11/FIDO خالی (ssh-agent-P) یا با پیکربندی یک لیست مجاز که فقط شامل کتابخانه‌های ارائه‌دهنده خاص است، می‌توان از اکسپلویت جلوگیری کرد. بنابراین، برای جلوگیری از آسیب‌پذیری، انتقال عامل را غیرفعال کنید یا گزینه‌های ssh-agent را محدود کنید. 
 منابع خبر

تعداد 6 آسیب‌پذیری‌ جدید روی  Microsoft Exchange Server گزارش شده است که یکی از آنها شدت بحرانی را کسب کرده است.  این آسیب پذیری‌ها به شرح زیر  است:
آسیب پذیری CVE-2023-21709 :
آسیب‌پذیری در Microsoft Exchange Server است و با شدت بحرانی و  امتیاز 9.8 را دارا است. این آسیب‌پذیری به معنای وجود یک نقطه ضعف در نرم‌افزار می‌باشد. این نقطه ضعف به هکرها اجازه می‌دهد که از سطح دسترسی کاربری معمولی به سطح دسترسی بالاتری دست یابند، که به این عمل "افزایش دسترسی" (Elevation of Privilege) گفته می‌شود

آسیب پذیری  CVE-2023-38181:
آسیب‌پذیری در Microsoft Exchange Server است و با شدت بالا و  امتیاز 8.8 را کسب کرده است. این آسیب‌پذیری به معنای وجود یک نقطه ضعف است که به حمله‌کنندگان اجازه می‌دهد تا اطلاعات یا درخواست‌های جعلی شده را به کاربران یا افراد دیگر ارسال کنند. این نوع حمله معمولاً با هدف تقلبی و تخریب اعتماد کاربران به سیستم مورد استفاده قرار می‌گیرد

آسیب پذیری  CVE-2023-38185:
آسیب‌پذیری در Microsoft Exchange Server است و با شدت بالا و  امتیاز 8.8 را کسب کرده است. این آسیب‌پذیری وجود نقطه‌ ضعیف در این نرم‌افزار است که به حمله‌کنندگان امکان می‌دهد تا کد مخرب را از راه دور اجرا کنند و در نتیجه کنترل بر سیستم را به دست بگیرند.

آسیب پذیری  CVE-2023-35368:
آسیب‌پذیری در Microsoft Exchange Server است و با شدت بالا و  امتیاز 8.8 را کسب کرده است. این آسیب‌پذیری دارای یک نقطه ضعف در نرم‌افزار مایکروسافت اکسچنج است که به حمله‌کنندگان امکان می‌دهد تا کد مخرب را از راه دور اجرا کنند، که این ممکن است منجر به نقض امنیت سیستم مورد تأثیر گردد.

آسیب پذیری  CVE-2023-35388:
آسیب‌پذیری در Microsoft Exchange Server است و با شدت بالا و  امتیاز 8 را کسب کرده است. این آسیب‌پذیری به معنای وجود نقطه ضعف در نرم‌افزار سرور مایکروسافت است که به حمله‌کنندگان امکان می‌دهد کد مخرب را از راه دور اجرا کنند و امنیت سیستم مورد تأثیر را تهدید کنند.

آسیب پذیری  CVE-2023-38182:
آسیب‌پذیری در Microsoft Exchange Server است و با شدت بالا و  امتیاز 8 را کسب کرده است. این آسیب‌پذیری به معنای وجود نقطه ضعف در نرم‌افزار سرور مایکروسافت است که به حمله‌کنندگان اجازه می‌دهد کد مخرب را از راه دور اجرا کنند و به این ترتیب امنیت سیستم مورد تأثیر قرار گیرد

 مراجع

آسیب‌پذیری Command Injection با شناسه CVE-2023-28130 در پورتال Gaia محصول Check Point کشف و گزارش شده است که با  یک حمله‌کننده با احراز هویت و دسترسی نوشتن در تنظیمات DNS، اجازه می‌دهد تا از طریق تزریق دستور، کد مخرب را از راه دور اجرا نماید. شدت این آسیب‌پذیری با امتیاز 8.4 و شدت بالا گزارش شده است. برای مطالعه بیشتر اینجا کلیک نمایید.

موزیلا از انتشار فایرفاکس ورژن 116، ESR 115.1 و ESR 102.14 خبر داد که شامل وصله هایی برای چندین آسیب پذیری با شدت بالا است. سازنده این مرورگر در مجموع ۱۴ آسیب پذیری را فهرست کرده است که ۹ مورد از آن‌ها دارای درجه با «شدت بالا» هستند و سه مورد از آن ها به اشکالات ایمنی حافظه در فایرفاکس اشاره دارند.
اولین مورد از ایرادات با شدت بالا، که با شناسه CVE-2023-4045 شناخته می‌شود دور زدن محدودیت‌های مبدأ متقاطع  (cross origin)است که این آسیب پذیری می تواند به صفحات وب اجازه دهد تا تصاویر نمایش داده شده در یک صفحه از یک سایت دیگر را مشاهده کنند. مرورگرها شامل یک خط مشی یکسان (same-origin policy) هستند که اجازه دسترسی کدهای HTML و جاوا اسکریپت یک وب سایت را به محتوای دیگر سایت ها نمی دهد. دومین آسیب پذیری با شدت بالا(با شناسه CVE-2023-4046) که فایرفاکس 116 وصله می کند به عنوان یک مقدار نادرست در طول کامپایل زبان WASM استفاده می شود. موزیلا خاطرنشان می کند: در برخی شرایط، یک stale value می‌توانست برای یک متغیر سراسری در تحلیل WASM JIT استفاده شود. که این منجر به کامپایل نادرست و یک آسیب پذیری بالقوه قابل بهره برداری در فرآیند محتوا می شود. به روز رسانی مرورگر، دور زدن درخواست مجوز از طریقclickjacking را حل می کند(آسیب پذیریCVE-2023-4047).Sophos خاطرنشان می‌کند: «مجوزهای بالقوه خطرناک، مانند دسترسی به موقعیت مکانی شما، ارسال اعلان‌ها، فعال کردن میکروفون و غیره، تا زمانی که یک هشدار واضح از خود مرورگر را مشاهده نکرده باشید ، داده نمی‌شوند.»
سه آسیب‌پذیری دیگر با شدت بالا که فایرفاکس 116 برطرف می‌کند عبارتند از CVE-2023-4048  که یک نقص خواندن خارج از محدوده است که باعث می شود DOMParser در هنگام ساختن یک فایل HTML دست‌کاری شده، از کار بیافتد. در آسیب پذیری CVE-2023-4049، Race Condition منجر به آسیب‌پذیری‌های بالقوه قابل بهره‌برداری پس از استفاده رایگان می‌شود، و در آسیب پذیری CVE-2023-4050، بافر پشته در StorageManager سرریز شده که به طور بالقوه منجر به sandbox escape می‌شود. باگ‌های ایمنی حافظه که در فایرفاکس 116 برطرف شده‌اند، به‌عنوان CVE-2023-4056، CVE-2023-4057، و CVE-2023-4058 شناخته می‌شوند که می‌توانند به اجرای کد دلخواه منجر شوند.
موزیلا می‌گوید بسیاری از این مشکلات با شدت بالا بر پشتیبانی گسترده فایرفاکس و تاندربرد تأثیر می‌گذارند که در فایرفاکس ESR 115.1، ESR 102.14، Thunderbird 115.1 و Thunderbird 102.14  بررسی شده‌اند.
موزیلا هیچ اشاره ای به سوء استفاده از این آسیب پذیری ها در حملات نمی کند.
 
 منابع

2. https://security.snyk.io/vuln/SNYK-ORACLE9-FIREFOX-5821216

یک آسیب‌پذیری جدید در نرم‌افزار مدیریت چاپ PaperCut MF/NG شناخته شده که می‌تواند برای اجرای کد از راه دور و احراز هویت نشده مورد سوء استفاده قرار گیرد. این نقص که به‌عنوان CVE-2023-39143 شناخته می‌شود و دارای رتبه با «شدت بالا» است، می‌تواند توسط مهاجمان احراز هویت نشده برای خواندن یا نوشتن فایل‌های دلخواه مورد سوء استفاده قرار گیرد، که می‌تواند اجرای کد از راه دور در پیکربندی‌های خاص محصول را امکان‌پذیر کند. این آسیب‌پذیری بر سرورهای PaperCut که روی ویندوز اجرا می‌شوند، بسیار تأثیر می‌گذارد. آپلود فایل که موجب اجرای کد از راه دور می شود زمانی امکان پذیر است که تنظیمات  integration دستگاه خارجی فعال باشد. این تنظیم به طور پیش‌فرض در برخی از نصب‌های PaperCut، مانند نسخه PaperCut NG Commercial یا PaperCut MF، روشن است.
تجزیه و تحلیل شرکت امنیتی نشان می دهد که اکثریت نصب های PaperCut تحت تأثیر قرار گرفته اند. در حال حاضر جزئیات فنی برای جلوگیری از سوء استفاده فاش نشده است. Horizon3 دستوری ارائه کرده است که می تواند برای بررسی آسیب پذیر بودن سرور PaperCut استفاده شود.
PaperCut با انتشار نسخه 22.1.3 وصله ای برای این آسیب پذیری و سایر آسیب پذیری ها منتشر کرده است.
در حالی که هیچ مدرکی دال بر بهره برداری CVE-2023-39143 وجود ندارد، اخیرا یک آسیب پذیری دیگری در PaperCut که به نام CVE-2023-27350 شناخته می شود، به طور گسترده توسط گروه‌های باج‌افزار و عوامل تهدید مورد استفاده قرار گرفته است. Horizon3 خاطرنشان کرد که هر دو آسیب‌پذیری را می‌توان بدون احراز هویت و تعامل کاربر مورد سوء استفاده قرار داد، با این حال، حفره امنیتی جدید  (CVE-2023-39143)برای بهره برداری پیچیده تر است زیرا نیاز به زنجیره چندین باگ و دسترسی مستقیم به IP سرور دارد. 
 
منابع

عوامل تهدید در حال ایجاد وب‌سایت‌های جعلی هستند که نصب‌کننده‌های نرم‌افزاری تروجان‌شده را میزبانی می‌کنند. این وبسایت‌ها کاربران ناآگاه را فریب می‌دهند تا یک بدافزار دانلودکننده به نام Fruity را با هدف نصب ابزارهای تروجان از راه دور مانند Remcos RAT دانلود کنند.
دکتر وب، فروشنده محصولات امنیت سایبری در تحلیلی گفت: «در میان نرم‌افزارهای مورد بحث، ابزارهای مختلفی برای تنظیم دقیق پردازنده‌ها، کارت‌های گرافیک و بایوس، ابزارهای نظارت بر سخت‌افزار رایانه شخصی و برخی برنامه‌های دیگر وجود دارد». «چنین نصب‌کننده‌هایی به‌عنوان یک فریب مورد استفاده قرار می‌گیرند و نه تنها شامل نرم‌افزاری مورد علاقه قربانیان احتمالی هستند، بلکه شامل خود تروجان با تمام اجزای آن نیز می‌شوند». بردار دسترسی اولیه دقیق مورد استفاده در کمپین نامشخص است اما به طور بالقوه می تواند از فیشینگ گرفته تا دانلود ناخواسته (drive by download ) و یا تبلیغات متغیر باشد. از کاربرانی که وارد سایت جعلی شدند، خواسته می شود یک بسته نصب کننده ZIP را دانلود کنند. نصب کننده، علاوه بر فعال کردن فرآیند نصب استاندارد، به طور مخفیانه تروجان Fruity را ذخیره می‌کند، یک بدافزار مبتنی بر پایتون که یک فایل MP3 ("Idea.mp3") را برای بارگذاری یک فایل تصویری ("Fruit.png") باز می کند تا آلودگی چند مرحله ای را فعال کند. دکتر وب گفت: «این فایل تصویری از روش استگانوگرافی برای مخفی کردن دو فایل اجرایی (کتابخانه‌های dll .) و کد پوسته (shell) برای راه‌اندازی مرحله بعدی در داخل آن استفاده می‌کند.Fruity  همچنین برای دور زدن تشخیص آنتی ویروس بر روی میزبان در معرض خطر و در نهایت راه اندازی محموله Remcos RAT با استفاده از تکنیکی به نام فرآیند doppelgänging طراحی شده است.
 با این حال، توالی حمله می تواند برای توزیع انواع بدافزار مورد سوء استفاده قرار گیرد، بنابراین لازم است که کاربران به دانلود نرم افزار فقط از منابع قابل اعتماد، پایبند باشند.
منبع

https://thehackernews.com/2023/07/fruity-trojan-uses-deceptive-software.html

آسیب‌پذیری سرقت ایمیل‌های کاربر در Axigen WebMail یافت شد. Axigen WebMail  یک میل سرور پریمیوم و مقیاس پذیر برای Telcos،ISP ها، ارائه دهندگان میزبانی و غیره است که در برخی سازمان‌ها مانند وزارتخانه، بانک، دانشگاه و ... استفاده می‌شود. این آسیب‌پذیری امکان اجرای XSS رفلکتت (Reflected cross-site scripting) و تزریق HTML را فراهم می‌سازد و به‌دلیل عدم پاکسازی پارامترهای پرس و جو URL (URL query parameters) قبل از قرار گرفتن در بدنه پاسخ HTTP  (HTTP Response body) که منجر به اسکریپت بین سایتی (XSS) می شود، بوجود می‌آید. یک مهاجم می‌تواند از این نقص برای ایجاد پیوندی (link) استفاده کند که وقتی قربانی بر روی آن کلیک می‌کند، به محتوای صندوق پستی (mailbox) دسترسی پیدا کرده، آن را بازیابی کند و ایمیل‌های کاربر را سرقت نماید.   
نمونه پیلود برای XSS:

نمونه پیلود برای HTML Injection:

همچنین به‌دلیل 0-Day بودن آسیب‌پذیری شناسه و شدت آن منتشر نشده است.
نسخه‌های تحت تاثیر این آسیب‌پذیری شامل آخرین نسخه (در حال حاضر 10.5.0–4370c946) و نسخه‌های قدیمی‌تر Axigen WebMail می‌شود.
برای برطرف سازی این آسیب پذیری:
•    نسخه‌های آسیب‌پذیر به‌روزرسانی شود.
•    به هیچ ورودی از کاربر اعتماد نکنید. تمام ورودی‌های کاربر غیرقابل اعتماد تلقی شود.
•    بسته به محل استفاده از ورودی کاربر، از یک تکنیک escaping/encoding مناسب استفاده شود: HTML escape, JavaScript escape, CSS escape, URL escape و غیره. از یک کتابخانه قابل اعتماد و تأیید شده برای تجزیه و پاکسازی HTML استفاده شود. کتابخانه بسته به زبان توسعه انتخاب شود، برای مثال HtmlSanitizer برای.NET یا SanitizeHelper برای Ruby on Rails
•    پرچم  HttpOnly را برای کوکی‌ها تنظیم کنید.
•    از یک سیاست امنیت محتوا (CSP)  استفاده شود.
•    برنامه‌های کاربردی وب بطور مرتب اسکن شوند.
•    از هدرهای پاسخ مناسب Content-Type و X-Content-Type-Options، استفاده شود. تا اطمینان حاصل شود که مرورگرها پاسخ‌ها را به روشی که شما می‌خواهید تفسیر می‌کنند.
•    از URL های جاوا اسکریپت  اجتناب شود.
•    از XSS مبتنی بر  DOM جلوگیری شود.
•    از سیستم Auto-Escaping Template استفاده شود.
•    از فریمورک های مدرن JS به درستی استفاده شود.
•    هدر X-XSS-Protection توسط مرورگرهای مدرن منسوخ شده است و استفاده از آن می‌تواند مسائل امنیتی بیشتری را در سمت مشتری ایجاد کند. به این ترتیب، توصیه می‌شود برای غیرفعال کردن XSS Auditor، هدر به صورت X-XSS-Protection:0 تنظیم شود و اجازه داده نشود که رفتار پیش فرض مرورگر که پاسخ را مدیریت می‌کند، گرفته شود.
•    HTML مقادیر JSON درزمینه HTML کدگذاری شود و داده‌ها با JSON.parse خوانده شود.
•    اسکریپت باید متاکاراکترها را از ورودی کاربر فیلتر کند.
•    این نوع حمله تزریق زمانی اتفاق می افتد که ورودی و خروجی به درستی تأیید نشده باشند. بنابراین قانون اصلی برای جلوگیری از حمله HTML اعتبارسنجی مناسب داده است.
•    هر ورودی باید بررسی شود که آیا حاوی کد اسکریپت یا کد HTML است. اگر کد حاوی هر اسکریپت خاص یا براکت های HTML باشد، باید بررسی گردد- <script></script>, <html></html>

•    تست امنیتی خوب، به کمک اسکنر یا بصورت دستی، نیز بخشی از پیشگیری است.

منابع و مراجع

چندین آسیب‌پذیری در افزونه Ninja Forms وردپرس کشف و شناسایی شده است که می‌تواند توسط مهاجمان برای سرقت داده‌های حساس و افزایش سطح دسترسی مورد سوءاستفاده قرار گیرد. این آسیب‌پذیری‌ها با شناسه‌های CVE-2023-37979، CVE-2023-38386 و CVE-2023-38393 ردیابی شده‌اند که نسخه‌های 3.6.25 و پایین‌تر این افزونه را تحت تاثیر قرار می‌دهند. Ninja Forms در بیش از 800,000 سایت نصب شده است.
آسیب‌پذیری با شناسه CVE-2023-37979 و شدت 7.1، یک نقص XSS بازتابی POST-based است که می‌تواند به کاربر احراز هویت نشده اجازه دهد تا با فریب دادن کاربران با دسترسی بالا برای بازدید از یک وب‌سایت جعلی، دسترسی‌های خود را در سایت وردپرس هدف، افزایش دهد. آسیب‌پذیری‌های CVE-2023-38386 و CVE-2023-38393 مربوط به نقص‌های کنترل دسترسی می‌باشند که مهاجم با استفاده از آن می‌تواند کلیه فرم‌ها را روی سایت وردپرس بفرستد.
همچنین یک نقص امنیتی مهم توسط شرکت امنیتی وردپرس در افزونه HT Mega با شناسه CVE-2023-37999 در نسخه‌های 2.2.0 و پایین‌تر کشف شده است که به کاربر احراز هویت نشده این امکان را خواهد داد تا سطح دسترسی خود را به نقش دلخواهش در سایت وردپرس افزایش دهد.
نسخه‌های 3.6.25 و پایین‌تر افزونه Ninja Forms تحت تاثیر این آسیب‌پذیری‌ها قرار خواهند گرفت. به مدیران سایت‌های وردپرس توصیه می‌شود مراقب باشند و به‌روزرسانی‌ها و وصله‌های امنیتی منتشر شده را جهت محافظت از وب‌سایت‌ خود در برابر خطرات امنیتی احتمالی اعمال کنند. آسیب‌پذیری مذکور در نسخه نسخه 3.6.26 وردپرس رفع شده است.

 منابع خبر