سازمان‌های امنیتی ایالات متحده و بریتانیا به‌تازگی از آسیب‌پذیری روترهای سیسکو در مقابل یک بدافزار روسی خبر داده‌اند. البته تنها روترهای قدیمی با فریمور به‌روزرسانی‌نشده در معرض خطر قرار دارند؛ درنتیجه نیازی به نگرانی برای همه دارندگان محصولات این شرکت وجود ندارد.
طبق اطلاعیه منتشرشده توسط مرکز ملی امنیت سایبری بریتانیا (NCSS) و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، گروه APT28 اقدام به ساخت بدافزاری با نام «دندان جگوار» کرده‌اند که می‌تواند اطلاعات حساس را از روترها سرقت کند و امکان دسترسی غیرمجاز به هکرها بدهد. گفته شده است که گروه مذکور، وابسته به دولت روسیه است و زیر نظر اداره اصلی اطلاعات این کشور فعالیت دارد. شایان ذکر است که دیگر سازمان‌های امنیتی آمریکا مثل NSA و FBI نیز در تنظیم این گزارش نقش داشته‌اند.
براساس گزارش BleepingComputer، هکرهای روسی، اقدام به اسکن‌کردن روترهای عمومی جهت یافتن روترهای سیسکو می‌کنند. در ادامه پس از یافتن هدف خود، اقدام به بررسی اکسپلویت CVE-2017-6742 می‌کنند که یک آسیب‌پذیری با عمر 6 سال است و امکان اجرای از راه دور کدها را فراهم می‌سازد. همین مسئله موجب می‌شود تا بدافزار دندان جگوار، به‌صورت مستقیم روی حافظه دستگاه قابل‌نصب باشد.
روترهای سری IOS سیسکو که از فریمور C5350-ISM نسخه ۱۲.۳.۶ استفاده می‌کنند، در مقابل بدافزار اشاره‌شده، آسیب‌پذیرند. این بدافزار می‌تواند در کنار جمع‌آوری داده‌ها، به دسترسی غیرمجاز هکر به روتر کمک کند. برای حل این مشکل، مدیران سیستم باید برای به‌روزرسانی فوری فریمور روترها اقدام کنند. همچنین توصیه شده است تا قابلیت‌های SNMP v2 و Telnet غیرفعال شوند.
بکدور بدون احرازهویت:
بدافزار با دستکاری فرایند احراز هویت از طریق تغییر ask_md5secret و askpassword باعث میشود که همیشه مقدار True رو برگردانند و در نتیجه مهاجم بدون احراز هویت به اکانتهای محلی که برای دسترسی از طریق Telnet یا دسترسی فیزیکی ایجاد شدن ، دسترسی خواهد داشت.
استخراج اطلاعات دستگاه:
بدافزار از طریق دستورات CLI زیر اقدام به جمع آوری اطلاعات دستگاه میکند :

این بدافزار از شکل کوتاه شده دستورات استفاده میکند و بعد از استخراج از طریق دستور r و TFTP اونها را انتقال میدهد :

اکسپلویت SNMP:

بدافزار برای استقرار از یک آسیب پذیری به شناسه CVE-2017-6742 که از نوع Stack buffer overflow است استفاده میکند ، که منجر به اجرای کد از راه دور میشود. 

OID یک مقدار Object Identifier است که معمولا برای مشخص کردن دستگاه و وضعیت ان استفاده میشود. بطور خلاصه میشه گفت که هر دستگاه، OID منحصر به فرد خودش داره و میشه با اون شناسه عملکرد و وضعیت دستگاه رو بررسی کرد.
 این بدافزار از OID زیر استفاده میکنه:

1.3.6.1.4.1.9.9.95.1.2.4.1.3

عدد 1 : مشخص کننده ISO است. 
عدد 3: مشخص کننده ORG است. این مشخص کننده سازمان تولیدکننده دستگاه است.
عدد 6: مشخص کننده dod  یا Department of Defense است. اولین سازمان ایجاد کننده اینترنت است
عدد 1: مشخص کننده اینترنت است. یعنی تمام ارتباطات از طریق اینترنت است.
عدد 4: مشخص کننده این است که این دستگاه توسط بخش خصوصی تولید شده است.
عدد1: مشخص میکند که سازمان سازنده دستگاه یک شرکت تجاری است.
6 تا عدد اول تقریبا برای همه دستگاهها یکی است. در ادامه هم جزییات محصولات و ساختارهای اون مشخص میشود.
شماره 9: مشخص کننده نام شرکت سازنده است که عدد 9 برای سیسکو است. یعنی با یه دستگاه سیسکویی روبرو است.
عدد 9: نوع دستگاه رو مشخص میکند که در اینجا CiscoMgmt است.
عدد 95: مشخص کننده ciscoAlpsMIB  است
عدد 1: مشخص کننده ciscoAlpsMIBObjects است
عدد 2: مشخص کننده  alpsPeerObjects است
عدد 4: مشخص کننده alpsRemPeerConnTable است
عدد 1: مشخص کننده alpsRemPeerConnEntry است
عدد 3: مشخص کننده alpsRemPeerConnLocalPort است.
اکسپلویت:
آسیب پذیری در (k_alpsRemPeerConnEntry_get (0x60E72178 است که قسمتی از AirLine Protocol Support (ALPS) است. وقتی یک OID طولانی به این بخش ارسال بشود، منجر به سریز و مهاجم می‌تواند کنترل EIP رو به دست بگیرد.
اکسپلویت کامل آن شبیه کد زیر است :

مراجع

آسیب‌پذیری با شناسه CVE-2023-20154 و شدت بحرانی و امتیاز 9.1 در محصولات سیسکو یافت شده‌است. به موجب این آسیب‌پذیری مهاجم احراز هویت‌نشده امکان دسترسی به رابط مدیریتی وب با امتیاز مدیریتی را خواهد داشت. یک مهاجم می‌تواند با ورود به رابط وب سرور آسیب‌دیده از این آسیب‌پذیری سوء‌استفاده کند. تحت شرایط خاص، مکانیسم احراز هویت دور زده می‌شود و مهاجم به‌عنوان مدیر وارد می‌شود و یک اکسپلویت موفق می‌تواند به مهاجم اجازه دهد تا امتیازات مدیریتی در رابط وب سرور آسیب‌دیده، از جمله توانایی دسترسی و اصلاح هر شبیه‌سازی و همه داده‌های ایجاد شده توسط کاربر را به دست آورد.
مهاجم احراز هویت‌نشده برای اکسپلویت نیاز به اعتبارنامه های معتبر کاربران ذخیره شده‌، در سرور احرازهویت‌کننده خارجی مربوطه دارد. سیسکو به روز‌رسانی های نرم‌افزاری را منتشر کرده است که این آسیب‌پذیری را برطرف می‌کند.
محصولات زیر چنانچه با احرازهویت LDAP پیکربندی شده باشند تحت تاثیر این آسیب پذیری قرار می‌گیرند:

از طریق مسیری که در پایین گفته شده می توان احرازهویت LDAP پیکربندی شده را مشاهده کرد:

نسخه های اصلاح شده:
 

آسیب‌پذیری با شناسه CVE-2023-20046 و شدت بالا و امتیاز 8.8  در محصولات سیسکو یافت شده است. این آسیب پذیری در ویژگی احرازهویت SSH مبتنی بر کلید در محصول Cisco StarOS Software است. به موجب این آسیب پذیری مهاجم احرازهویت شده با ارسال یک کلید SSH معتبر اما با امتیاز پایین از هاستی که IP آن برای یک اکانت با امتیاز بالا است و بعنوان مبدا (source ) پیکربندی شده است میتواند این آسیب پذیری را اکسپلویت و افزایش امتیاز دهد. یک اکسپلویت موفق می تواند به مهاجم اجازه دهد تا از طریق SSH به عنوان یک کاربر با امتیاز بالا وارد دستگاه آسیب دیده شود.
محصولات سیسکو که از نسخه آسیب پذیر Cisco StarOS Software استفاده و برای احراز هویت از SSH مبتنی بر کلید استفاده میکنند، در زیر لحاظ شده است.

برای پیدا کردن دستگاه آسیب‌پذیر می‌توان از دستور authorized-key در server sshd استفاده کرد. اگه نتایج حاوی دو یا چند نمونه IP مشابه برای پارامتر host بود، دستگاه آسیب پذیراست.  در مثال زیر نمونه ای لحاظ شده است:

سیسکو اعلام کرد که برای این آسیب پذیری یک PoC منتشر شده است.
آسیب‌پذیری با شناسه CVE-2023-20036 و شدت بحرانی و امتیاز 9.9  در محصولات سیسکو یافت شده است. این آسیب‌پذیری از نوع  Command Injection و در web UI محصول Cisco Industrial Network Director است. یک مهاجم می‌تواند با تغییر درخواستی که هنگام آپلود یک بسته به دستگاه ارسال می‌شود، از این آسیب‌پذیری سوء استفاده کند.
به طور دقیق‌تر مهاجم احراز هویت شده می تواند با دستکاری درخواست هنگام آپلود Device Pack این آسیب پذیری را اکسپلویت  کند و همچنین دستور دلخواه با امتیاز NT AUTHORITY\SYSTEM در سیستم عامل زیربنایی دستگاه اجرا کند. این آسیب‌پذیری به دلیل اعتبارسنجی نامناسب ورودی هنگام آپلود Device Pack است.
نسخه های اصلاح شده:
 

آسیب‌پذیری با شناسه CVE-2023-20125 و شدت بالا و امتیاز 8.6  در محصولات سیسکو یافت شده است. این آسیب‌پذیری در محصول Cisco BroadWorks Network Server است. به موجب این آسیب‌پذیری مهاجم بدون احراز هویت و از راه دور می‌تو‌اند می تواند با ارسال نرخ بالای اتصالات TCP به سرور از این آسیب پذیری سوء استفاده کند. به طور دقیق‌تر مهاجم بدون احراز هویت می‌تو‌اند با ایجاد اتصالات TCP زیاد حمله DoS پیاده کند.
سیسکو تایید کرده است که این آسیب پذیری‌، محصولات سیسکو زیر را تحت تاثیر قرار نمی دهد:

 

•    BroadWorks Ansible Playbook

•    BroadWorks Application Delivery Platform

•    BroadWorks Application Server

•    BroadWorks Database Server

•    BroadWorks Database Troubleshooting Server

•    BroadWorks Execution Server

•    BroadWorks Media Server

•    BroadWorks Messaging Server

•    BroadWorks Network Database Server

•    BroadWorks Network Function Manager

•    BroadWorks Profile Server

•    BroadWorks Service Control Function Server

•    BroadWorks Service License Report Tool

•    BroadWorks Sharing Server

•    BroadWorks Software Manager

•    BroadWorks Video Server

•    BroadWorks WebRTC Server

•    BroadWorks Xtended Services Platform

•    BroadWorks pre-Install Check

نسخه های اصلاح شده:
 

مراجع

محققین امنیتی آسیب پذیری XSS (تزریق کد‌های مخرب جاوا اسکریپت ) در KerioConnect کشف کردند که امکان تصاحب اکانت صندوق پستی قربانی را برای فرد مهاجم فراهم میکند. KerioConnect یک میل سرور سازمانی و محصول کمپانی GFI است که توسط 30 هزار شرکت در سراسر جهان استفاده میشود. برای پلتفرم‌های ویندوز، لینوکس و مک قابل نصب و استفاده است. با توجه به اینکه نصب و پیکربندی و استفاده ساده‌ای دارد و همچنین هزینه آن در برابر محصولات مشابه خود به صرفه است اغلب توسط کسب و کارهای کوچیک مورد استفاده قرار میگیرد. .
آسیب پذیری در فرایند پردازش ضمیمه های HTML است که به فرد مهاجم اجازه میدهد با ارسال یک فایل HTML که در محتوای آن یک کد جاوا اسکریپت مخرب وجود دارد را تزریق و اجرا کند. در نهایت فرد مهاجم میتواند این آسیب پذیری را اکسپلویت کند و به فرد اجازه میدهد کنترل کامل صندوق پستی را در دست بگیرد.
همچنین فرد مهاجم میتواند درکد جاوا اسکریپت مخرب، رمز عبور برنامه شخص ثالث دلخواه را به حساب کاربری اضافه می کند، سپس می تواند برای دسترسی و مدیریت دائم صندوق پستی قربانی استفاده شود. اگر از این محصول استفاده می‌کنید برای اقدام پیشگیرانه توصیه شده استک که از باز کردن ضمائم بصورت فایل html خودداری کنید.

مرجع

https://ssd-disclosure.com/ssd-advisory-kerio-mailbox-takeover

VMware به‌روزرسانی‌هایی برای رفع چندین نقص امنیتی که بر روی نرم‌افزارهای Workstation و Fusion تأثیر می‌گذارد منتشر کرده است که می‌تواند به مهاجم محلی اجازه دهد تا کد مخرب را اجرا کند.
آسیب‌پذیری کشف شده مربوط به سرریز بافر مبتنی بر پشته بوده و با شناسه CVE-2023-20869 و شدت بحرانی 9.3 شناسایی شده است. نقص امنیتی مذکور می‌تواند توسط یک مهاجم محلی با سطح دسترسی مدیر، منجر به خواندن اطلاعات حساس موجود در حافظهhypervisor  شده و  از آن سوء استفاده کند.VMware همچنین دو نقص دیگر را برطرف کرده است که شامل یک نقص افزایش سطح دسترسی محلی با شناسه CVE-2023-20871 و امتیاز7.3 در محصول Fusion و یک آسیب‌پذیری خواندن/نوشتن خارج از محدوده در شبیه‌سازی دستگاه SCSI CD/DVD  با شناسه CVE-2023-20872 و امتیاز 7.7 می‌باشد. 
کارشناسان شرکت VMware اذعان داشتند مهاجم با دسترسی به ماشین مجازی که یک درایو فیزیکی CD/DVD متصل و پیکربندی شده جهت استفاده از یک کنترل‌کننده SCSI مجازی داشته باشد، ممکن است بتواند از این آسیب‌پذیری برای اجرای کد مخرب روی Hypervisor سوء استفاده کند.
به کاربران توصیه می‌شود نرم‌افزار Workstation را به نسخه 17.0.2 و Fusion را به نسخه 13.0.2 ارتقاء دهند. VMware به عنوان یک راه حل موقت برای آسیب‌پذیری‌های با شناسه CVE-2023-20869  و CVE-2023-20870 ،  پیشنهاد کرده است که کاربران، پشتیبانی بلوتوث را در ماشین مجازی خاموش کنند. جهت کاهش آسیب‌پذیری با شناسه CVE-2023-20872 نیز توصیه می‌شود دستگاه CD/DVD را از ماشین مجازی حذف کنید یا ماشین مجازی را طوری پیکربندی کنید که از کنترل‌کننده SCSI مجازی استفاده نکند.
منابع خبر

آسیب‌پذیری در Aria Operations for Logs محصولات VMware  گزارش شده است. شرکت Vmware از کاربران خواسته است هر چه سریعتر بروزرسانی را اعمال کنند. به‌روزرسانی‌ها و راه‌حل‌هایی برای رفع این آسیب‌پذیری‌ها در محصولات آسیب‌دیده VMware در دسترس هستند. ابزار VMware Aria Operations for Logs که قبلا با نام vRealize Log Insight بود، یک ابزار برای مدیریت لاگهای برنامه ها و زیرساخت ها در سازمان‌های  بزرگ است.
آسیب‌پذیری با شناسه CVE-2023-20864 و شدت بحرانی و امتیاز 9.8 در محصولات Vmware یافت شده‌است. این آسیب‌پذیری از نوع Deserialization است. به موجب این آسیب‌پذیری مهاجم بدون احراز هویت می‌تواند کد دلخواه خود را با امتیاز Root اجرا کند. آسیب‌پذیری با شناسه CVE-2023-20865 و شدت مهم و امتیاز 7.2 در محصولات Vmware یافت شده است. این آسیب‌پذیری از نوع Command Injection است. به موجب این آسیب‌پذیری مهاجم با امتیاز مدیریتی و دسترسی به VMware Aria Operations for Logs می‌تواند دستور دلخواه را با امتیاز Root اجرا کند.
نسخه های آسیب پذیر و اصلاح شده :

به کاربران توصیه می‌شود به سرعت اعمال به‌روزرسانی‌ها را برای کاهش تهدیدات احتمالی انجام دهند.

مراجع

مقدمه
گوگل یک به‌روزرسانی امنیتی اضطراری را برای رفع اولین آسیب‌پذیری روز صفر در مرورگر کروم که از ابتدای سال در حملات مورد سوء استفاده قرار گرفته است، منتشر کرده است.
جزئیات آسیب‌پذیری
این آسیب‌پذیری که با شناسه CVE-2023-2033 و درجه اهمیت بالا ردیابی می‌شود، توسط Clement Lecigne از گروه تحلیل تهدیدات گوگل (TAG) گزارش شده است و یک نقص Type confusion در موتور جاوااسکریپت کروم V8 است. در این آسیب‌پذیری، مهاجم از راه دور می‌تواند به طور بالقوه از تخریب حافظه heap از طریق یک صفحه HTML ساختگی، بهره‌برداری کند.
این نقص عموماً به مهاجمان اجازه می‌دهد تا با خواندن یا نوشتن حافظه خارج از محدوده بافر، مرورگر را پس از کار افتادن در نتیجه یک اکسپلویت موفقیت‌آمیز، مجدداً راه‌اندازی کنند، و از آن برای اجرای کد دلخواه در دستگاه‌های در معرض خطر سوء استفاده کنند.
محصولات تحت تأثیر
مرورگر گوگل کروم قبل از نسخه 112.0.5615.121 تحت تآثیر این آسیب‌پذیری قرار دارد.
توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسبت به بروزرسانی مرورگر خود به نسخه 112.0.5615.121 در سیستم‌های ویندوز، لینوکس و Mac اقدام نمایند. همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه می‌شود که به محض انتشار نسخه وصله شده آن را اعمال کنند. این بروزرسانی به کاربران کمک می‌کند که تا زمان انتشار جزئیات فنی این آسیب‌پذیری، حملات را مسدود کرده و مانع از توسعه اکسپویت‌های بیشتر مهاجمان شوند.
منابع خبر

[2] https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html

محققین Patchstack یک آسیب‌پذیری با شناسه CVE-2023-32243 و شدت بحرانی در پلاگین وردپرس به نام Essential Addons for Elementor معرفی کردند. آسیب‌پذیری CVE-2023-32243 در این پلاگین، امکان افزایش امتیاز را به یک مهاجم بدون احرازهویت شده می‌دهد. مهاجم می‌تواند با ریست کردن پسورد هر کاربر، وارد اکانت آن شود. نکته دیگر آن است که مهاجم باید نام کاربری قربانی رو بداند و چنین مهاجم می‌تواند اکانت مدیر سایت را با این آسیب‌پذیری بدست آورد و کل سایت را در دست بگیرد. برای مطالعه بیشتر اینجا کلیک نمایید.

مقدمه
آسیب‌پذیری باشناسه CVE-2023-1124 در پلاگین‌های Wordpress با شدت بالا(7.2) منتشر شده است که به مهاجم اجازه خواندن فایل‌های درون سرور را میدهد.
جزئیات آسیب‌پذیری
این آسیب‌پذیری در پلاگین‌های Wordpress نسخه‌های قبل از 5.4.3 با شدت بالا(7.2) رخ داده است که شرایط حمله LFI(Local File Inclusion) را برای مهاجم فراهم می‌سازد و از طریق مرورگر مهاجم می‌تواند فایل‌ها را در سرور قرار دهد. این آسیب پذیری به علت عدم بررسی دقیق ورودی‌ها در وب‌سایت ایجاد شده که به مهاجم امکان دستکاری داده تا کاراکتر های پیمایش مسیر را وارد کند وفایل هایی را در سرور قرار دهد. 

Vector:  CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

محصولات تحت تأثیر
این آسیب‌پذیری اطلاعات موجود در وب سایت‌های طراحی شده با Wordpress را تحت تاثیرقرار می‌دهد.
توصیه‌های امنیتی
به کاربران توصیه می‌شود که پلاگینWordpress  نسخه های قبل از 5.4.3 را بروز رسانی کنند.

منابع خبر

[1]  https://nvd.nist.gov/vuln/detail/CVE-2023-1124

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1124

[3] https://vuldb.com/?id.224819

مقدمه
آسیب‌پذیری‌هایی از برند D-link با شدت 8.8 (با شناسه‌های CVE-2022-43646 و CVE-2022-43647 و CVE-2022-43648) شناسایی شده است که مهاجم می‌تواند از این آسیب‌پذیری برای تزریق کد دلخواه سوء استفاده کند.
جزئیات آسیب‌پذیری
آسیب پذیری‌های مذکور در نسخه D-Link DIR-3040 1.20B03 routersو D-Link DIR-825 1.0.9/EE ،شناسایی شده است که مهاجم می‌تواند  بدون احراز هویت از این آسیب‌پذیری برای تزریق کد دلخواه سوء استفاده کند.

Vector:  CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

 توصیه‌های امنیتی 
استفاده از دستگاه جدید می تواند این مشکل را برطرف کند.
منبع خبر

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10319