پلاگین ProfileGrid در وردپرس، در برابر تغییرات غیرمجاز داده‌ها آسیب‌پذیر است، زیرا قابلیت بررسی عملکرد profile_magic_check_smtp_connection در آن وجود ندارد. 
آسیب پذیری بحرانی پلاگین ProfileGrid، با شناسه CVE-2023-3713 و امتیاز 8.8 ارزیابی شده است. آسیب پذیری در این پلاگین، این امکان را برای مهاجمان تأیید شده با مجوزهای سطح مشترک یا بالاتر فراهم می کند، تا گزینه های سایت را به روز کنند .مهاجمان می توانند از این آسیب پذیری، برای دستیابی به افزایش دسترسی استفاده کنند.
این آسیب پذیری، در برخی از پردازش های ناشناخته مولفه Option Update Handler پیدا شده است که بر محرمانگی، یکپارچگی و در دسترس بودن تاثیر می گذارد. 
آسیب پذیری CVE-2023-3713 در پلاگین ProfileGrid وردپرس، تا نسخه5.5.1  پیدا شده است.
منابع خبر

[2] https://vuldb.com/?id.234310

اسناد مایکروسافت ورد از آسیب‌پذیری اجرای کد از راه دور سواستفاده می‌کند و با استفاده از فیشینگ، بدافزاری به نام LokiBot را در سیستم نصب می‌کند. کارا لین محقق آزمایشگاه Fortinet FortiGuard گفت: «LokiBot، از سال 2015 به عنوان یک تروجان سرقت اطلاعات شناخته شده است. این آسیب‌پذیری سیستم‌های ویندوز را هدف قرار می دهد و هدف آن جمع آوری اطلاعات حساس از سیستم‌ها است." شرکت امنیت سایبری این آسیب‌پذیری را در می 2023 شناسایی کرده است. این حملات از آسیب‌پذیری‌های CVE-2021-40444 و CVE-2022-30190 برای نصب بدافزار به سیستم های قربانیان سوء‌استفاده می‌کنند.
فایل Word که با ‌استفاده از آسیب‌پذیری CVE-2021-40444 که حاوی یک لینک GoFile خارجی است و در یک فایل XML تعبیه شده است که منجر‌به دانلود یک فایل HTML می شود و LokiBot را رمزگشایی و راه اندازی می کند، سوء استفاده می کند. این آسیب‌پذیری‌ همچنین دارای تکنیکهایی است که برای بررسی وجود دیباگرها و تعیین اینکه آیا در یک محیط مجازی اجرا میشود، بکار میرود.
یک روش دیگر که در اواخر ماه می کشف شد توسط یک سند Word شروع می شود که شامل یک اسکریپت ویژوال بیسیک (VBA) است که بلافاصله پس از باز کردن سند با استفاده از توابع "Auto_Open" و "Document_Open" یک بد‌افزار ماکرو را اجرا می کند.
اسکریپت ماکرو متعاقباً به عنوان مجرای برای انتقال payload موقت از یک سرور راه دور عمل می کند، که همچنین به عنوان یک انژکتور برای بارگذاری LokiBot و اتصال به یک سرور فرمان و کنترل (C&C server) عمل می کند.
LokiBot، دارای قابلیت‌هایی برای ثبت ضربه‌های کلید، گرفتن اسکرین شات، جمع‌آوری اطلاعات اعتبار ورود به سیستم از مرورگرهای وب، و siphon داده‌ها از انواع کیف پول‌های ارزهای دیجیتال است.
کارا لین می گوید: "LokiBot یک بدافزار قدیمی و گسترده است که سال‌هاست فعال است. عملکردهای آن در طول زمان به بلوغ رسیده است و استفاده مجرمان سایبری را برای سرقت داده های حساس از قربانیان آسان می کند. مهاجمان پشت LokiBot به طور مداوم روش های دسترسی اولیه خود را به روز می کنند و به کمپین بدافزار آنها اجازه می دهند راه های کارآمدتری برای انتشار و آلوده کردن سیستم ها پیدا کنند."
منبع

https://thehackernews.com/2023/07/cybercriminals-exploit-microsoft-word.html

مهاجمان از یک آسیب پذیری بحرانی که اخیرا در پلاگین WooConnerce Payments WordPress افشا شده بود، برای حملات هدفمند گسترده استفاده می کنند. این گروه  حملات، به وب سایت های  Wordfence حمله می کنند. یک فایروال برنامه وب برای سایت های وردپرس گزارش کرده است که این گروه حملات بر روی زیرمجموعه کوچکتری از وب سایت ها تمرکز دارد. 
این آسیب پذیری که با عنوان CVE-2023-28121 و امتیاز 9.8 ارزیابی شده است،  یک مورد دور زدن تایید هویت است که به مهاجمان تایید هویت نشده امکان می دهد، با جعل هویت کاربران برخی اقدامات را حتی با جعل هویت مدیر انجام دهند که منجر به تصاحب سایت می شود. 
اکسپلویت موفقیت آمیز از آسیب پذیری پلاگین WooCommerce Payments وردپرس، به مهاجم تایید هویت نشده، اجازه می دهد درخواست هایی را از طرف یک کاربر با دسترسی بالا مانند مدیر ارسال کند. از این رو، مهاجم از راه دور و تایید هویت نشده می تواند به سایتی که با نسخه آسیب پذیر پلاگین فعال شده است، دسترسی مدیر داشته باشد.
گزارش ها نشان می دهد افزایش درخواست های شمارش پلاگین ها، از چند روز قبل، نشانه هایی از حملات گسترده را شناسایی کرده اند. این درخواست ها یک فایل خاص read.txt را در فهرست wp-content/plugins/woocommerce-payments/ در میلیون ها سایت جستجو می کردند. اگرچه، همه اسکن‌هایی که فایل‌های readme.txt را هدف قرار می‌دهند مخرب نیستند. بااین حال، افزایش جستجوها برای یک پلاگین خاص معمولاً نشان‌دهنده علاقه شدید عوامل تهدید است.
حفره مشترک مشاهده شده در حملات، استفاده از هدر درخواست HTTP "X-Wcpay-Platform-  Checkout-User: 1 است که باعث می شود سایت های حساس هر گونه بار اضافی را به عنوان یک کاربر مدیریتی Wordfence در نظر بگیرند. این حفره برای استقرار پلاگین WP Console استفاده می شود که می تواند برای اجرای کدهای مخرب و نصب یک آپلود کننده فایل برای تنظیم پایداری سایت در معرض آسیب پذیری باشد. 

محصولات تحت تأثیر
نسخه های 4.8.0 تا 5.6.1 پلاگین WooCommerce Payments آسیب پذیر هستند. بیش از 600000  وب سایت وردپرسی وجود دارد که از این پلاگین استفاده می کنند. وصله های مربوط به این آسیب پذیری توسط WooCommerce در مارس 2023 منتشر شد و وردپرس با استفاده از نسخه های آسیب پذیر نرم افزار، بروزرسانی هایی را برای سایت ها صادر کرد.
 منابع خبر

یک آسیب پذیری در Adobe's ColdFusion شناسایی شده است که به مهاجم اجازه می دهد، از این آسیب-پذیری برای اجرای کد از راه دور در سیستم مورد هدف استفاده کند. 
 Adobe به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری بحرانی، با عنوان  CVE-2023-38203 منتشر کرده است. یک مهاجم می تواند از این آسیب پذیری، برای اجرای کد خود بر روی یک سیستم آسیب پذیر استفاده کند.این آسیب پذیری، با امتیاز 9.8 ارزیابی شده است و در نسخه های ColdFusion 2018, 2021, 2023، به-عنوان آسیب زدایی از داده های غیر قابل اعتماد مشخص می شود. مهاجمان بطور فعال، از آسیب پذیری بحرانی در Adobe's ColdFusion برای دور زدن تایید هویت و اجرای دستورات، از راه دور استفاده می کنند و می توانند پوسته های وب را روی سرورهای آسیب پذیر نصب کنند. اکسپلویت زنجیره ای این آسیب پذیری ها، به مهاجمان این امکان را ایجاد می کند، پس از نصب یک پوسته وب روی نمونه های آسیب پذیر ColdFusion، برای انجام حملات بیشتر استفاده کنند. 
این نوع آسیب پذیری به مهاجم اجازه می دهد، تا داده های ساختگی کد خود را اجرا کند و منجر به از کار افتادن کامل سیستم شود. 
به کاربران ColdFusion توصیه شده است که آخرین به روز رسانی های امنیتی را نصب کنند، تا از سیستم های خود در برابر حملات احتمالی محافظت کنند.
منابع خبر

یک آسیب پذیری در Adobe's ColdFusion شناسایی شده است که به مهاجم اجازه می دهد، از این آسیب پذیری برای اجرای کد از راه دور در سیستم مورد هدف استفاده کند. Adobe به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری بحرانی، با عنوان CVE-2023-38203 منتشر کرده است. یک مهاجم می تواند از این آسیب پذیری، برای اجرای کد خود بر روی یک سیستم آسیب پذیر استفاده کند.
این آسیب پذیری، با امتیاز 9.8 ارزیابی شده است و در نسخه های ColdFusion 2018, 2021, 2023، به عنوان آسیب زدایی از داده های غیر قابل اعتماد مشخص می شود. 
مهاجمان بطور فعال، از آسیب پذیری بحرانی در Adobe's ColdFusion برای دور زدن تایید هویت و اجرای دستورات، از راه دور استفاده می کنند و می توانند پوسته های وب را روی سرورهای آسیب پذیر نصب کنند. اکسپلویت زنجیره ای این آسیب پذیری ها، به مهاجمان این امکان را ایجاد می کند، پس از نصب یک پوسته وب روی نمونه های آسیب پذیر ColdFusion، برای انجام حملات بیشتر استفاده کنند. 
این نوع آسیب پذیری به مهاجم اجازه می دهد، تا داده های ساختگی کد خود را اجرا کند و منجر به از کار افتادن کامل سیستم شود. 
به کاربران ColdFusion توصیه شده است که آخرین به روز رسانی های امنیتی را نصب کنند، تا از سیستم های خود در برابر حملات احتمالی محافظت کنند.
منابع خبر

[2] https://digital.nhs.uk/cyber-alerts/2023/cc-4358

[3]https://vulnera.com/newswire/critical-vulnerability-in-coldfusion-addressed-as-adobe- releases-another-key-patch

پلاگین ثبت نام کاربر وردپرس، بدلیل وجود یک کلید رمزنگاری سخت و عدم اعتبارسنجی نوع فایل، در برابر آپلود فایل آسیب پذیر است. این آسیب پذیری با شناسه CVE-2023-3342 و امتیاز 9.9 ارزیابی شده است که بیش از 60000 نصب فعال دارد. 
عدم اعتبارسنجی نوع فایل در عملکرد ur_upload_profile_pic، این پلاگین را در برابر آپلود فایل های ساختگی آسیب پذیر کرده است. مهاجم تایید هویت نشده می تواند، با قابلیت های مشترک یا بالاتر فایل های ساختگی، از جمله فایل¬های  PHPرا در سرور سایت آسیب پذیر آپلود کند و منجر به اجرای کد از راه دور شود. 
این آسیب پذیری تا نسخه 3.0.2  موجود و در نسخه  3.0.2.1برطرف شده است.
به کاربران توصیه می شود، تایید هویت دو مرحله ای را در وردپرس فعال کرده و رمزهای عبور را تغییر دهند، بخصوص اگر از همان ترکیب های اعتبار، در سایت های دیگر استفاده شده باشد. همچنین، توصیه می شود سایت هایشان را به آخرین نسخه وصله شده ثبت نام کاربر، به روز رسانی کنند.
منابع خبر

دو آسیب پذیری امنیتی جدید، بر مدل های ماژول های ارتباطیRockwell Automation ControlLogix EtherNet/IP (ENIP) تاثیر می گذارند. این آسیب پذیری ها می توانند از طریق دستیابی به اجرای کد از راه دور و انکار سرویس (DoS) اکسپلویت شوند. نتایج و تاثیر اکسپلویت این آسیب پذیری ها، بسته به پیکربندی سیستم ControlLinux متفاوت است، اما می تواند منجر به انکار یا از دست دادن کنترل، دید، سرقت داده های عملیاتی یا دستکاری کنترل برای پیامدهای مخرب بر روی سیستم شود. 
آسیب پذیری CVE-2023-3595 با امتیاز 9.8، در محصولات ارتباطی Rockwell Automation 1756 EN2* and 1756 EN3* ControlLogix communication products وجود دارد که به مهاجم اجازه می دهد، از طریق پروتکل صنعتی مشترک (CIP) ساخته‌شده به‌طور مخرب، کد از راه دور را با پایداری روی سیستم هدف اجرا کند. 
این آسیب پذیری علاوه بر به خطر افتادن خود ماژول آسیب‌پذیر، می‌تواند به مهاجم اجازه دهد، فرآیند صنعتی را همراه با زیرساخت‌های حیاتی زیربنایی تحت تأثیر قرار دهد، که ممکن است منجر به اختلال یا تخریب احتمالی شود.آسیب‌پذیری دیگری با شناسهCVE-2023-3596، در محصولات ارتباطی Rockwell Automation  1756-EN4* Ethernet/IP  وجود دارد که می‌تواند به مهاجم اجازه دهد، با اعلام سیستم هدف از طریق پیام‌های CIP ساختگی، به‌طور مخرب سرویس را انکار کند.
این آسیب پذیری ها در صورتی که با موفقیت اکسپلویت شوند، امکان دسترسی از راه دور به حافظه در حال اجرای ماژول و انجام فعالیت های مخرب را، برای مهاجم فراهم می کنند. دستگاه های آسیب پذیر شامل

 منابع خبر

شرکت سیسکو در خصوص یک آسیب پذیری بحرانی در Cisco SD-WAN vManage هشداری را صادر کرده است. این آسیب پذیری با شناسه CVE-2023-20214 و شدت بحرانی و امتیاز 9.1 در محصولات سیسکو یافت شده است. یک آسیب‌پذیری در اعتبارسنجی درخواست برای رابط برنامه‌نویسی برنامه‌های کاربردی (REST API) نرم‌افزار Cisco  SD-WAN vManage  وجود دارد که می‌تواند به یک حمله‌کننده غیرمجاز، اجازه دسترسی به مجوزهای خواندن یا محدود خواندن/نوشتن به پیکربندی نمونه Cisco SD-WAN vManage متأثر را بدهد.
این آسیب‌پذیری به دلیل عدم اعتبارسنجی کافی درخواست‌ها هنگام استفاده از ویژگی REST API به وجود می‌آید. یک حمله‌کننده می‌تواند از طریق ارسال درخواست API منحصربه‌فرد به یک نمونه vManage متأثر، از این آسیب‌پذیری بهره‌برداری کند. در صورت موفقیت آمیز بودن حمله، حمله‌کننده قادر خواهد بود اطلاعات را از پیکربندی نمونه Cisco  vManage  متأثر دریافت و اطلاعات را به آن ارسال کند. این آسیب‌پذیری تنها تأثیری بر روی REST API دارد و بر روی رابط مدیریت مبتنی بر وب یا رابط خط فرمان تأثیری ندارد. این APIها برای موارد زیر استفاده می‌شوند. 
•    نظارت بر وضعیت دستگاه
•    پیکربندی دستگاه
•    بدست آوردن اطلاعات آماری از دستگاه
نسخه های تحت تاثیر و اصلاح شده :
 

سیسکو اعلام کرده است که اطلاعاتی در خصوص اکسپلویت یا حملات استفاده شده برای این آسیب پذیری ندارد.
 برای بررسی اینکه آیا به این APIها درخواستی ارسال شده است می‌توان فایل لاگ که در مسیر زیر قرار دارد را بررسی کنید :

/var/log/nms/vmanage-server.log

با دستور CLI زیر میتونید این فایل رو مشاهده کنید :

vmanage# show log /var/log/nms/vmanage-server.log

اگه در نتایج عبارت Request Stored in Map is (/dataservice/client/server) for user (admin) بود، یعنی درخواست‌هایی به REST API ارسال شده  است.

توصیه :
سیسکو به‌روزرسانی‌های نرم‌افزاری را منتشر کرده است که این آسیب‌پذیری را رفع می‌کند. راه‌حل‌های موقتی برای رفع این آسیب‌پذیری وجود ندارد. همچنین گفته شده که می‌توانید با فعال کردن access control list) ACL) دسترسی به vManage رو محدود کنید.

مراجع

کمپانی Zimbra هشداری در خصوص اصلاح دستی آسیب پذیری XSS در سرورهای ایمیل Zimbra Collaboration Suite (ZCS)  صادر کرده است. زیمبرا به مدیران توصیه کرد که به صورت دستی یک آسیب‌پذیری روز صفر را که به صورت فعال، در هدف قرار دادن و نفوذ به سرورهای ایمیل زیمبرا Collaboration Suite (ZCS)  استفاده می‌شود، رفع کنند. این پلتفرم توسط 200 هزار کسب و کار در 140 کشور دنیا مورد استفاده قرار میگیرد که بخشی از آنها سازمانهای دولتی و مالی هستند. این یک آسیب پذیری از نوع reflected XSS است و در Zimbra Collaboration Suite نسخه 8.8.15  رخ میدهد و محرمانگی و یکپارچگی داده ها را تحت تاثیر قرار می‌دهد. اصلاحیه آن قرار است در انتشار اصلاحیه جولای منتشر شود. آسیب پذیری توسط محققین Google Threat Analysis Group گزارش شده است. این  کمپانی در خصوص اینکه این آسیب پذیری مورد سوء استفاده قرار گرفته است مطلبی را نگفته است.  اما Maddie Stone از Google Threat Analysis Group اعلام کرده است که آسیب پذیری هنگام اکسپلویت در یه حمله هدفمند کشف و به صورت روز صفر است. در حالی که زیمبرا هنوز پچ‌های امنیتی را برای رفع آسیب‌پذیری به صورت فعال ارائه نداده است، اما یک راه حل را برای تصحیح دستی ارائه کرده است که مدیران می‌توانند از آن برای حذف برداشت حمله استفاده کنند. برای رفع آسیب‌پذیری در تمام گره‌های صندوق پستی به صورت دستی، مدیران باید مراحل زیر را انجام دهند:
1.    نسخه پشتیبانی از فایل زیر را بگیرید.

2.    این فایل را ویرایش کنید و به خط شماره ۴۰ بروید.
3.     مقدار پارامتر را به مقدار زیر به‌روزرسانی کنید

 <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>. 

4.    قبل از به‌روزرسانی، خط به صورت زیر بوده است.

 <input name="st" type="hidden" value="${param.st}"/> 

5.    با اضافه کردن تابع escapeXml کمک می کنید تا ورودی کاربر ،که از برخی کاراکترهای خاصی که در XML markup استفاده می‌شوند رو پاکسازی کنید و در نتیجه جلوی XSS رو بگیرید.
 

مراجع

مایکروسافت، بروزرسانی های جدیدی برای رفع  132آسیب پذیری امنیتی جدید، در نرم افزار خود منتشر کرد که شامل 6 آسیب پذیری zero-day است که اکسپلویت شده است. از بین این آسیب پذیری ها، 9 آسیب-پذیری بحرانی و 122 آسیب پذیری مهم ارزیابی شده اند. این آسیب پذیری ها، علاوه بر 8 آسیب پذیری است که در پایان ماه گذشته، در Edge browser مبتنی بر Chromium خود وصله کرد.
مایکروسافت، در صورتی یک آسیب پذیری را به عنوان zero-day ارزیابی می کند که بصورت عمومی افشا شود و یا اکسپلویت شود. 6 آسیب پذیری zero-day که بطور فعال اکسپلویت شده اند، شامل این موارد هستند: 

در این آسیب پذیری، مهاجم حقوق کاربری را که برنامه آسیب پذیری را اجرا میکند را بدست می آورد. این آسیب پذیری، توسط مرکز اطلاعات تهدیدات مایکروسافت کشف شده است. مایکروسافت این آسیب پذیری را که با باز کردن یک فایل ساختگی، از طریق ایمیل یا وب-سایت های مخرب اکسپلویت شده بود را برطرف کرده است.

مهاجمان از این آسیب پذیری برای جلوگیری از نمایش Open File - Security Warning هنگام دانلود و بازکردن فایل ها از اینترنت اکسپلویت کرده اند. این آسیب پذیری، توسط مرکز اطلاعات تهدیدات مایکروسافت کشف شده است.

این آسیب پذیری، به مهاجم اجازه میدهد تا حساب ادمین را در دستگاه ویندوز به دست آورند. مهاجم باید به دستگاه مورد نظر دسترسی محلی داشته باشد و با حقوق محدودی که کاربران عادی بطور پیش فرض دارند، باید بتواند پوشه ها و ردیابی عملکرد روی دستگاه ایجاد کند.

 CVE-2023035311 - Microsoft Outlook Security Feature Bypass Vulnerability

این آسیب پذیری، هشدارهای امنیتی را دور می زند و در صفحه پیش نمایش کار می کند. مهاجم با استفاده از این آسیب پذیری، می تواند اعلان امنیتی Microsoft Outlook را دور بزند. مایکروسافت، این آسیب پذیری را رفع کرده است. 

CVE-2023-36884- Office and Windows HTML Remote Code Execution Vulnerability

مایکروسافت دستورالعمل‌هایی را در موردMicrosoft Office  و ویندوز zero-day وصله نشده منتشر کرده است که امکان اجرای کد از راه دور را، با استفاده از اسناد Microsoft Office  ایجاد می کند. همچنین، در حال بررسی گزارش های تعدادی از آسیب پذیری های اجرای کد از راه دور است که بر ویندوز و محصولات Office تأثیر می گذارد. مهاجم می تواند، یک سند Microsoft Office  ساخته شده ایجاد کند که اجازه می دهد، کد از راه دور را در زمینه قربانی انجام دهند. با این حال، یک مهاجم باید قربانی را متقاعد کند که فایل مخرب را باز کند.

ADV230001- Malicious use of Microsoft-signed drivers for post-exploitation activity

مایکروسافت اعلام کرده است که درایورهای تایید شده، توسط برنامه توسعه سخت افزار ویندوز مایکروسافت، به طور مخرب اکسپلویت شده اند. در این حملات، مهاجم قبل از استفاده از درایورها، حساب های مدیریتی را بر روی سیستم های در معرض خطر به دست آورده بود. چندین حساب توسعه دهنده، برای مرکز شریک مایکروسافت (MPC) درگیر ارسال درایورهای مخرب، برای به دست آوردن امضای مایکروسافت بوده اند. همه حساب‌های توسعه‌دهنده درگیر، در این حادثه بلافاصله به حالت تعلیق درآمدند.
 منابع خبر

[1] https://thehackernews.com/2023/07/microsoft-releases-patches-for-130.html

[2] https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2023-patch-tuesday-warns-of-6-zero-d…