چندین آسیب‌پذیری در API و رابط مدیریت تحت‌وب نرم‌افزارهای Expressway Series و TelePresence Video Communication Server سیسکو با شدت بالا کشف شده است.

جزئیات آسیب‌پذیری

این آسیب‌پذیری‌ها با شناسه‌های "CVE-2022-20814" و "CVE-2022-20853" و شدت بالا (7.4 از 10)، مهاجم را قادر می‌سازند تا بتواند از راه دور گواهینامه‌ها را دور بزند یا حملات CSRF  را روی دستگاه آسیب‌پذیر انجام دهد. این آسیب‌پذیری‌ها به یکدیگر وابسته نیستند و بهره‌برداری از یکی از آنها برای بهره‌برداری از آسیب‌پذیری دیگر الزامی نیست. علاوه بر این، نسخه نرم‌افزاری که تحت تأثیر یکی از آسیب پذیری‌ها قرار می‌گیرد، ممکن است تحت تأثیر آسیب‌پذیری دیگر قرار نگیرد.

• CVE-2022-20814: این آسیب‌پذیری در اعتبارسنجی گواهینامه‌ی Expressway-C و TelePresence VCS سیسکو وجود دارد که برای مهاجم احرازهویت‌نشده از راه دورامکان دسترسی به داده‌های حساس را فراهم می‌کند. این آسیب‌پذیری به دلیل عدم اعتبارسنجی گواهینامه‌ی SSL serverای ایجاد می‌شود که دستگاه آسیب‌پذیر هنگام برقراری اتصال با پلتفرم کنترل تماس و ارتباطات یکپارچه‌ی سیسکو (Cisco Unified Communications Manager) دریافت می‌کند. مهاجم می‌تواند با استفاده از تکنیک man-in-the-middle ترافیک بین دستگاه‌ها را دریافت کرده و سپس از گواهی self-signed برای جعل هویت مقصد استفاده کند. بهره‌برداری موفق از این نقص به مهاجم اجازه می‌دهد ترافیک دریافت‌شده را به صورت متن واضح مشاهده کند یا محتوای ترافیک را تغییر دهد.
  Expressway-E تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرد.
• CVE-2022-20853: یک آسیب‌پذیری در REST API سری‌ Expressway سیسکو و TelePresence VCS، که به واسطه‌ی آن مهاجم می‌تواند از راه دور یک حمله‌ی CSRF(cross-site request forgery) را بر روی سیستم آسیب‌‌پذیر انجام دهد. این آسیب‌پذیری به دلیل محافظت ناکافی در برابر حمله‌ی CSRF در رابط مدیریت تحت‌وب سیستم آسیب‌پذیر ایجاد می‌شود. مهاجم می‌تواند با متقاعد کردن کاربرِ REST API برای دنبال کردن یک لینک ساختگی، از این آسیب‌پذیری بهره‌برداری کند. بهره‌برداری موفق از این آسیب‌پذیری به مهاجم اجازه می‌دهد سیستم آسیب‌پذیر را مجددا بارگذاری کند.

محصولات تحت تأثیر
API و رابط مدیریت مبتنی بر وب نرم‌افزار Expressway Series و نرم‌افزار TelePresence Video Communication Server (VCS) تحت تاثیر این آسیب‌پذیری‌ها قرار دارند.

توصیه‌های امنیتی
در جدول زیر نسخه‌های آسیب‌پذیر نرم‌افزارهای سیسکو و اولین نسخه‌ی وصله شده‌ی این نرم‌افزارها آورده شده است:
 

منبع خبر:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-csrf-sqps…

VMware در روز پنجشنبه برای رفع یک آسیب‌پذیری اجرای کد در vCenter Server وصله‌ی امنیتی منتشر نمود.

جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسه‌ی CVE-2022-31680 و شدت بالا (7.2 از 10)، که در vCenter Server وجود دارد، یک نقص deserialisation در کنترل‌کننده‌ی خدمات پلتفرم یا PSC (Platform services controller) است که به مهاجم دارای دسترسی ادمین در vCenter server اجازه می‌دهد از این آسیب‌پذیری برای اجرای کد دلخواه در سیستم‌عامل اصلی که vCenter Server را میزبانی می‌کند استفاده کند.

محصولات تحت تأثیر
این آسیب‌پذیری تنها vCenter Server نسخه‌ی 5.‏6 با PSC خارجی (external) را تحت تأثیر قرار می‎‌دهد.

توصیه‌های امنیتی
این آسیب‌پذیری درVMware vCenter Server  نسخه‌ی 6.5 U3u برطرف شده است.

منابع خبر:

[1] https://www.vmware.com/security/advisories/VMSA-2022-0025.html
[2] https://securityaffairs.co/wordpress/136791/security/vmware-vcenter-server-flaws.html

روز گذشته (7 اکتبر 2022)، Fortinet به منظور رفع یک آسیب‌پذیری بحرانی در محصولات خود، طی یک هشدار امنیتی از مدیران خواست که فایروال‌های FortiGate و وب‌پراکسی‌های FortiProxy را به آخرین نسخه به‌روزرسانی کنند. بر اساس جستجوی Shodan، بیش از 100،000 فایروال FortiGate از طریق اینترنت قابل دسترسی هستند، اگرچه مشخص نیست که آیا رابط‌های مدیریتی آن‌ها نیز در معرض دید هستند یا خیر.

جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسه‌ی CVE-2022-40684 و دارای شدت بحرانی (9.6 از 10)، یک نقص دور زدن فرایند احراز هویت در رابط مدیریتی است که به مهاجم اجازه می‌دهد از راه دور بتواند به دستگاه‌های آسیب‌پذیر وارد شود. در واقع، مهاجم با ارسال درخواست‌های HTTP یا HTTPS ساختگی به هدف آسیب‌پذیر، می‌تواند به رابط مدیریتیِ دستگاه وارد شود و عملیات مدیر را انجام دهد.

محصولات تحت تأثیر

محصولات زیر تحت تأثیر این آسیب‌پذیری قرار دارند:
   • FortiOS: از نسخه‌ی 7.0.0 تا 7.0.6 و از نسخه‌ی 7.2.0 تا 7.2.1.
   • FortiProxy: از نسخه‌ی 7.0.0 تا 7.0.6 و نسخه‌‎ی 7.2.0.

توصیه‌های امنیتی

Fortinet وصله‌های امنیتی را در روز پنجشنبه منتشر کرد و از مشتریان خود خواست دستگاه‌های آسیب‌پذیر را به FortiOS نسخه‌های ۷.۰.۷ یا ۷.۲.۲ و FortiProxy  نسخه‌های ۷.۰.۷ یا ۷.۲.1 به‌روزرسانی کنند.
در حال حاضر هیچ اطلاعاتی مبنی بر استفاده از این آسیب‌پذیری در حملات وجود ندارد. اما با توجه به امکان بهره‌برداری از راه دور، و نیز تمایل مهاجمان برای هدف قرار دادن آسیب‌پذیری‌های FortiOS، اکیداً توصیه می‌شود برای اصلاح این آسیب‌پذیری «با قید فوریت» اقدام شود.
در صورتی که در حال حاضر امکان به‌روزرسانی دستگاه‌های آسیب‌پذیر وجود ندارد، انجام اقدامات کاهشی زیر توصیه می‌گردد:

• برای جلوگیری از دور زدن فرایند احراز هویت و ورود به سیستم‌های آسیب‌پذیرِ FortiGate و FortiProxy توسط مهاجمان از راه دور، مشتریان باید آدرس‌های IP را که می‌توانند به رابط مدیریتی دسترسی پیدا کنند با استفاده از یک Local-in-Policy محدود کنند.
• در صورت امکان، دسترسی به رابط‌های کاربریِ مدیریتی از راه دور غیرفعال شود.
• دسترسی مدیریتی از طریق WAN باید فوراً غیرفعال شود تا زمانی که به‌روزرسانی انجام شود.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/fortinet-warns-admins-to-patch-critical-auth-bypass-…
[2] https://www.tenable.com/blog/cve-2022-40684-critical-authentication-bypass-in-fortios-and-fortiproxy

شرکت مایکروسافت اظهار داشت که اخیراً دو نقص امنیتی روز صفر در سرور Microsoft Exchange کشف شده است که به طور گسترده مورد بهره‌برداری قرار گرفته‌اند.

جزئیات آسیب‌‌پذیری
یکی از این آسیب‌پذیری‌‌ها که شناسه‌ی CVE-2022-41040 به آن اختصاص داده شده است، مربوط به تولید درخواست‌های سمت سرور یا همان SSRF می‌باشد که در واقع یک آسیب‌پذیری وب است که مهاجم از این طریق می‌تواند کاری کند اپلیکیشن سمت سرور، به دامنه‌ی دلخواه او درخواست‌هایHTTP  بفرستد.
به آسیب‌پذیری دوم نیز شناسه‌یCVE-2022-41082 اختصاص داده شده است که به مهاجم امکان اجرای کد از راه دور (RCE) به هنگام دسترسی وی به PowerShell را می‌دهد.
به گفته‌ی سازمان امنیت سایبری ویتنامی (GTSC)  بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها مهاجم را قادر می‌سازد تا Web Shell را در اختیار گرفته و دسترسی به شبکه قربانی را برای خود ایجاد کند.
با توجه به ردپاهای به جا مانده و همچنین بررسی Logهای موجود، این حرکت به یک گروه چینی منتسب شده است و یک محقق امنیتی به نام کوین بومونت در این خصوص در توئیتر اذعان داشته: «می‌توانم تأیید کنم که تعداد قابل توجهی از سرورهای Exchange مورد حمله قرارگرفته‌اند.»

محصولات تحت تأثیر
این آسیب‌پذیری‌ها بر سرورهای 2013، 2016 و 2019 Microsoft Exchange تأثیر می‌گذارند.

توصیه‌های امنیتی
شرکت مایکروسافت اعلام کرد که در تلاش است هر چه سریع‌تر راه حلی ارائه دهد تا هر دو نقص امنیتی منتشر شده را برطرف کند. همچنین این شرکت اذعان داشت که مشتریان آنلاین Microsoft Exchange نیازی به انجام هیچ اقدامی ندارند؛ اما برای مشتریان درون سازمانی که برای آن‌ها Microsoft Exchange در محل خود شرکت و عموماً در دیتا سنتر شرکت قرار دارد(on-premises) اقدامات کاهشی را ارائه داده است.
 GTSC توصیه کرد که مشتریان از طریق ماژول URL Rewrite Rule در سرور IIS، یک rule جهت مسدود کردن درخواست‌ها و حملات شناسایی شده اضافه کنند:

IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions

GTSC دستورالعمل و ابزاری جهت اسکن Log فایل‌های IIS  که به طور پیش‌فرض در پوشه‌ی %SystemDrive%\inetpub\logs\LogFiles ذخیره می‌شوند، منتشر کرد تا از این طریق سازمان‌ها بتوانند بررسی کنند که آیا سرورهای Exchange آن‌ها با بهره‌برداری از این نقص‌ها به خطر افتاده است یا خیر.

روش 1: در powershell دستور زیر را وارد کنید:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

روش 2: استفاده از ابزار توسعه یافته توسط GTSC از طریق لینک زیر:

https://github.com/ncsgroupvn/NCSE0Scanner

شرکت مایکروسافت نیز جهت کمک به مشتریان برای محافظت از خود در برابر این حملات، اقدامات کاهشی زیر را نیز ارائه داده است:
   1. IIS Manager را باز کنید.
   2. وب‌سایت پیش‌فرض را Expand کنید.
   3. Auto Discover را انتخاب کنید.
   4. در Feature View، بر روی گزینه‌ی URL Rewrite کلیک کنید.
   5. در بخش Actions در سمت راست، بر روی گزینه‌ی Add Rules کلیک کنید.
   6. Request Blocking را انتخاب کرده و بر روی گزینه‌ی OK کلیک کنید.
   7.  رشته‌ی زیر را (به استثنای نقل قول) اضافه کرده و بر روی گزینه‌ی OK کلیک کنید:

 “.*autodiscover\.json.*\@.*Powershell.*”

   8. Rule را Expand کرده و rule را با الگوی زیر انتخاب کنید:

“.*autodiscover\.json.*\@.*Powershell.*”

سپس بر روی گزینه‌ی Edit در زیرِ Conditions کلیک کنید.
   9. ورودی شرط (condition input) را از {URL} به {REQUEST_URI} تغییر دهید.

شرکت مایکروسافت همچنین به مشتریان خود توصیه می‌کند پورت‌های Remote PowerShell زیر را مسدود کنند:
   • HTTP: 5985
   • HTTPS: 5986

منبع خبر:

https://securityaffairs.co/wordpress/136447/hacking/microsoft-exchange-zero-day-3.html

 مقدمه
اخیراً چندین آسیب‌پذیریBIOS  با شدت بالا، صدها مدل از سیستم‌های کامپیوتری Lenovo را تحت تأثیر خود قرار داده است.
جزئیات آسیب‌پذیری
آسیب‌پذیری با شدت 7.8 و شناسه CVE-2021-28216:
این آسیب‌پذیری مربوط به اشاره‌گر TianoCore EDK II BIOS می‌باشد که مهاجم محلی می‌تواند کد دلخواه خود را با سطح دسترسی بالا اجرا کند. TianoCore EDK II یک کد منبع باز UEFI است که در صنعت تولید تمامی سیستم‌های کامپیوتری مدرن مورد استفاده قرار می‌گیرد.
آسیب‌پذیری با شناسه CVE-2022-40134:
آسیب‌پذیری نشت اطلاعات موجود در SMI Set BIOS Password Handler، که به مهاجم محلی با سطح دسترسی بالا اجازه می‌دهد تا حافظه SMM را بخواند.
آسیب‌پذیری با شناسه CVE-2022-40135:
آسیب‌پذیری نشت اطلاعات در Smart USB Protection SMI Handler، که به مهاجم محلی با سطح دسترسی بالا اجازه می‌دهد تا حافظه SMM را بخواند.
آسیب‌پذیری با شناسه CVE-2022-40136:
آسیب‌پذیری نشت اطلاعات در SMI Handler که برای پیکربندی تنظیمات پلتفرم در WMI در برخی مدل‌های Lenovo استفاده می‌شود و به مهاجم محلی با سطح دسترسی بالا اجازه می‌دهد تا حافظه SMM را بخواند.
آسیب‌پذیری با شناسه CVE-2022-40137:
آسیب‌پذیری سرریز بافر در WMI SMI Handler، که به مهاجم محلی با سطح دسترسی بالا اجازه می‌دهد تا حافظه SMM را بخواند.

محصولات تحت تأثیر
آسیب‌پذیری‌هایBIOS  صدها مدل از سیستم‌های کامپیوتری Lenovo را تحت تأثیر خود قرار می‌دهند:
Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem
توصیه‌های امنیتی
به کاربران توصیه می‌شود وصله‌های امنیتی منتشر شده را با انجام اقدامات زیر بر روی سیستم خود نصب کنند:
•    محصول خود را بر اساس نام یا نوع دستگاه در سایت Lenovo جستجو کنید.
•    در منوی سمت چپ، بر روی گزینه Drivers & Software کلیک کنید.
•    گزینه Manual Update را جهت اعمال به‌روزرسانی منتشر شده انتخاب کنید.
منابع خبر

https://gbhackers.com/lenovo-bios-vulnerabilities/

مقدمه
اخیرا برای ابزار Wireshark که یک محصول  پرکاربرد در زمینه‌ی تحلیل شبکه می‌باشد، به‌روزسانی امنیتی منتشر شده است. در این به‌روزرسانی چندین آسیب‌پذیری مهم رفع شده‌اند.
جزئیات آسیب‌پذیری
با انتشار نسخه‌ی 3.6.8 برای ابزار Wireshark که یک ابزار قدرتمند در تحلیل و آنالیز ترافیک و پروتکل‌های شبکه بشمار می‌آید، چندین ویژگی جدید نیز به برنامه اضافه شده است. شایان ذکر است که این ابزار توسط طیف گسترده‌ای از سازمان‎‌ها جهت مدیریت فعالیت‌های مرتبط با کسب و کارشان مورد استفاده قرار می‌گیرد.
با انتشار نسخه‌ی 3.6.8 ابزار Wireshark، دیگر از ویندوز 32 بیتی پشتیبانی نخواهد شد. در این نسخه چندین آسیب‌پذیری برطرف شده است که از جمله‌ی آن‌ها می‌توان به موارد زیر اشاره کرد:

• رمزگشایی ناقص رشته‌ی  GPP-GPRS-Negotiated-QoS-profile3
• HTTP2 dissector فقط اولین رکورد SSL را رمزگشایی می‌کند.
• بهبود L2TP
• تکرار در متن خلاصه پارامتر ISUP/BICC
• با اجرای rpm-setup.sh بسته‌های گم شده‌ای نشان داده می‌شوند که Centos به آن‌ها نیاز ندارد.
• Qt: یک فایل یا بسته‌ی بسیار بزرگ که فایل pcapng را به خطر خواهد انداخت.
• نقص BGP dissector
• تفسیر اشتباه فیلد cbsp.rep_period در epan/dissectors/packet-gsm_cbsp.c.
• Wireshark و tshark به هنگام خواندن برخی از بسته‌ها پاسخی صادر نمی‌کنند.
• IPX/IPX RIP: Crash on expand subtree
•  Assertion due to incorrect mask for btatt.battery_power_state.
• wnpa-sec-2022-06 F5 Ethernet Trailer dissector infinite loop.
• TCAP Malformed exception on externally re-assembled packet.
• USB Truncation of URB_isochronous in frames

در نسخه‌ی جدید این ابزار از پروتکل‌های به‌روزرسانی شده‌ پشتیبانی خواهد شد که عبارتند از:

•    BGP
•    BICC
•    BT ATT
•    CBSP
•    Couchbase
•    F5 Ethernet Trailer
•    Frame
•    GTP
•    GTP (prime)
•    IPsec
•    ISUP
•    L2TP
•    NAS-5GS
•    Protobuf
•    SCCP
•    TCP
•    TLS

توصیه‌های امنیتی
به کاربرانی که از ابزار Wireshark استفاده می‌کنند توصیه می‌شود در اسرع وقت به‌روزرسانی منتشر شده را جهت بهبود کارایی و خروجی‌ تحلیلگر خود، اعمال کنند.
منابع خبر

 مقدمه
آنتی ویروس و برنامه‌های Cleaner جعلی اندروید منتشر شده در گوگل‌پلی کشف شدند. این برنامه‌ها یک تروجان بانکی را جهت سوء استفاده در بین قربانیان منتشر می‌کند.
جزئیات آسیب‌پذیری
این تروجان بانکی معروف، به نام SharkBot این بار در قالب آنتی ویروس و برنامه‌های cleaner ظاهر شده است.
Fox-IT گروه NCC در گزارشی اذعان داشت: این تروجان برای نصب خودکار بدافزار Sharkbot به مجوزهای Accessibility متکی نیست و در واقع از قربانی خواسته می‌شود که اپلیکیشن‌های مخرب را به عنوان یک به‌روزرسانی جعلی برای آنتی‌ویروس خود نصب کنند تا در برابر تهدیدات محافظت شوند. این اپلیکیشن‌ها عبارتند از:
•    Mister Phone Cleaner  (بیش از 50,000 مرتبه دانلود)
•    Kylhavy Mobile Security (بیش از 10,000 مرتبه دانلود)

Droppersها به منظور رها کردن نسخه جدید تروجان SharkBot طراحی شده‌اند که دارای مکانیزم ارتباطی به‌روز شده کنترل و فرمان  (C2)، الگوریتم تولید دامنه  و یک پایگاه کد کاملا بازسازی شده است.
به گفته Fox-IT، نسخه جدیدتر این تروجان (2.25) که در آگوست 2022 کشف شده است عملکردی را جهت حذف کوکی‌ها در هنگام ورود قربانیان به حساب‌های بانکی خود ارائه می‌دهد.
از جمله قابلیت‌های مخرب این تروجان می‌توان به موارد زیر اشاره کرد: 
•    جمع آوری و سرقت اطلاعات حساب بانکی کاربر
•    ورود غیرمجاز به سیستم
•    انجام نقل و انتقالات جعلی وجوه با استفاده از سیستم انتقال خودکار (ATS)
•    رهگیری پیامک ها

منبع خبر

https://thehackernews.com/2022/09/fake-antivirus-and-cleaner-apps-caught.html
 

زبان برنامه‌نویسی PHP از نسخه 8.1.0 تا نسخه 8.1.7 یک آسیب‌پذیری بحرانی (9.8 از 10) دارد. تابع finfo_buffer از ماژول libmagic تحت تاثیر این آسیب‌پذیری می‌باشد. در این آسیب‌پذیری، برنامه کاربردی، تابع ()free را روی یک اشاره‌گری فراخوانی می‌کند که با استفاده از توابع تخصیص heap مرتبط مانند ()malloc()، calloc یا () realloc حافظه‌ای به آن تخصیص داده نشده است. بدین ترتیب یک مهاجم از راه دور می‌تواند یک رشته بسیار طولانی را به اسکریپتی که بافر را تخصیص می‌دهد ارسال کند و باعث یک سرریز بافر مبتنی بر heap شود تا بتواند کد دلخواه را روی سیستم هدف اجرا کند. جدول زیر مشخصات این آسیب‌پذیری را نشان می‌دهد.

برای رفع این آسیب‌پذیری نسخه آسیب‌پذیر را به نسخه 8.1.8 ارتقا دهید. 

منبع

 https://vuldb.com/?id.205243

پلتفرم قدرتمند webmin با پیاده سازی یک محیط گرافیکی تحت‌وب، امکانات کاملی جهت مدیریت و نگهداری سرورهای لینوکسی در اختیار مدیران سرور قرار می‌دهد. آسیب‌پذیری بحرانی با شناسه CVE-2022-36446 در نرم افزار webmin، اجازه اجرای کد را در اختیار کاربر مهاجم قرار می‌دهد. این آسیب‌پذیری در نسخه های پایین‌تر از 1.997 وجود دارد. مهاجم برای بهره‌برداری از این آسیب‌پذیری نیاز به دسترسی حداقلی دارد، سپس با بکارگیری این آسیب پذیری می‌تواند هرگونه دستوری را بر روی سیستم قربانی اجرا کند.

نرم افزار Webmin برای نصب و بروزرسانی از ابزارهای مدیریت پکیج‌های سیستم‌عامل از (apt، yum و غیره) استفاده می‌کند. به دلیل عدم پاکسازی ورودی، امکان تزریق و اجرای دستور دلخواه وجود دارد. لذا برای استفاده از این آسیب پذیری کاربر باید به ماژول "به روز رسانی بسته نرم افزاری" دسترسی داشته باشد. این آسیب پذیری از مسیر فایل /package-updates/update.cgi تزریق و اجرا می‌گردد. 

توصیه میگردد جهت رفع این آسیب‌پذیری، نرم افزار webmin بروزرسانی نموده و آخرین نسخه نصب گردد.

منابع:

https://nvd.nist.gov/vuln/detail/CVE-2022-36446

https://medium.com/@emirpolat/cve-2022-36446-webmin-1-997-7a9225af3165

مقدمه
در پی 1.4 میلیون مرتبه دانلود چندین افزونه‌ی مخرب گوگل کروم توسط کاربران، امکان سرقت اطلاعات آن‌ها برای مهاجمان فراهم شده است.
جزئیات آسیب‌پذیری
بر اساس گزارش شرکت امنیتی McAfee که به بررسی جزئیات افزونه‌های مخرب پرداخته بود، این افزونه‌ها کاربران را به سایت‌های فیشینگ هدایت می‌کنند.
 این افزونه‌ها عبارتند از:

•    Netflix Party
•    FlipShope – Price Tracker Extension
•    Full Page Screenshot Capture- Screenshotting
•    AutoBuy Flash Sale

این افزونه‌ها استفاده از امکاناتی همچون تماشای فیلم‌های Netflix، کوپن‌های وب‌سایت و گرفتن اسکرین‌شات از یک وب‌سایت را ارائه می‌دهند. افزونه‌های مذکور، فعالیت کاربر را رصد کرده و اطلاعات مربوط به بازدید وب‌سایت توسط کاربر را به سرورهای متعلق به سازنده‌ی افزونه ارسال خواهد کرد. در پی این اقدام، مهاجم کوکی‌های موجود در سایت را تغییر می‌دهد برای اقلام خریداری شده، مبلغی را دریافت کند.
به گفته‌ی کارشناسان McFee "همه‌‌ی افزونه‌ها رفتار مشابهی دارند و از روش POST جهت ارائه اطلاعاتی که شامل URL در فرمت base64، شناسه کاربر، مکان دستگاه (کشور، شهر، کد پستی) استفاده می‌کند.
 

اگر وب‌سایت بازدید شده با فهرستی از وب‌سایت‌هایی که برای آن‌ها یک شناسه وابسته وجود دارد مطابقت داشته باشد، به درخواست پاسخ می‌دهد. پاسخ با استفاده از دو تابع “Result[‘c’] – passf_url “ تأیید می‌شود، که به اسکریپت دستور می دهد URL ارائه شده (پیوند ارجاع) را به عنوان iframe در وب‌سایت بازدید شده درج کند. ، “Result[‘e’] setCookie” نیز دستور می‌دهد که کوکی را تغییر داده یا آن را با کوکی ارائه‌شده جایگزین کند.

 محصولات تحت تأثیر
افزونه‌های زیر تحت تأثیر این آسیب‌پذیری قرار دارند:
 

•    Netflix Party
•    FlipShope – Price Tracker Extension
•    Full Page Screenshot Capture- Screenshotting
•    AutoBuy Flash Sale
 

شرکت McAfee به مشتریان خود توصیه می‌کند هنگام نصب افزونه‌های کروم هوشیار باشند و به نوع مجوزهای درخواستی از کاربر توجه کنند.

منبع خبر