مقدمه
گوگل یک به‌روزرسانی فوری برای وصله یک آسیب‌پذیری روز صفر در مرورگر کروم منتشر کرده است.
جزئیات آسیب‌پذیری
این آسیب‌پذیری که شناسه "CVE-2022-3075" به آن اختصاص داده شده است مربوط به موردی از اعتبارسنجی نادرست داده‌ها در Mojo است. Mojo مجموعه‌ای از کتابخانه‌های زمان اجرا  است که عبور پیام را از مرزهای دلخواه بین فرآیندی و درون فرآیندی  تسهیل می‌کند.
مهاجم می‌تواند با متقاعد کردن قربانی برای بازدید از یک وب سایت خاص، از این آسیب‌پذیری برای دور زدن محدودیت‌های امنیتی سوءاستفاده کند.
محصولات تحت تأثیر
مرورگر گوگل کروم تحت تاثیر این آسیب‌پذیری قرار دارد.
توصیه‌های امنیتی
این به‌روزرسانی ششمین به‌روزرسانی روز صفر کروم است که گوگل از ابتدای سال تاکنون آنها را برطرف کرده است. 
به کاربران توصیه می‌شود برای کاهش تهدیدات احتمالی، مرورگر خود را در ویندوز، macOS و لینوکس به نسخه 105.0.5195.102 ارتقاء دهند. همچنین به کاربرانی که از مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera و Vivaldi استفاده می‌کنند توصیه می‌شود به محض در دسترس قرار گرفتن نسخه وصله شده، نسبت به اعمال آن اقدام نمایند.
منبع خبر

 https://thehackernews.com/2022/09/google-release-urgent-chrome-update-to.html
 

در PostgreSQL، افزونه‌ها ابزارهایی برای گسترش قابلیت‌ها و یک عامل اصلی برای محبوبیت آن به شمار می‌آیند. امروزه بیش از هزار افزونه برای Postgres در دسترس است که نشانگر انعطاف‌پذیری باورنکردنی معماری آن بوده و می‌توانند کاربردهای مختلفی داشته باشند. اما بدلیل این افزونه‌ها، پایگاه‌داده PostgreSQL در نسخه‌های 10.0 تا نسخه 10.21، نسخه 11.0 تا نسخه 11.16، نسخه 12.0 تا نسخه 12.11، نسخه 13.0 تا نسخه 13.7 و از نسخه 14.0 تا نسخه 14.4 یک آسیب‌پذیری با شدت بالا (8.0 از 10) دارد. در این آسیب‌پذیری، افزونه‌هایی که از دستور CREATE یا REPLACE استفاده می‌کنند و یک object همنام با objectهای موجود ایجاد کنند، Objectهای قبلی، بطور پیش فرض سطح دسترسی افزونه و object جدید را به ارث می‌برند. در نتیجه این امر، مجوزهای دسترسی Objectهای قبلی ارتقا می‌یابد که می‌تواند به شدت مشکل آفرین شود. بدین معنی که یک کاربر می‌تواند با ایجاد هدفمند یک object و سپس نصب یک افزونه ای که object همنام آن را دارد، سطح دسترسی object خود را ارتقا داده و به پایگاه داده دسترسی کامل پیدا نماید.

برای رفع این آسیب‌پذیری، نسخه‌های آسیب‌پذیر را به یکی از نسخه‌های 10.22، 11.17 ، 12.12، 13.8 و 14.5 ارتقا دهید.

منابع

https://nvd.nist.gov/vuln/detail/CVE-2022-2625#range-8251806'

 مقدمه
براساس گزارشات منتشر شده، یک بدافزار استخراج ارز دیجیتال هزاران کاربر را در 11 کشور جهان آلوده کرده است.
جزئیات آسیب‌پذیری
شناسایی این بدافزار توسط تحلیلگران امنیتی Check Point انجام شده است. ظاهرا این بدافزار توسط توسعه‌دهنده‌ای به نام نیتروکد (Nitrokod) که نرم‌افزار رایگان ارائه می‌دهد، طراحی شده است. از نظر نتایج جستجو، Nitrokod رتبه بالایی در گوگل دارد، بنابراین این وب سایت برای کاربرانی که به دنبال یک سرویس خاص هستند، گزینه مناسبی است.
 این بدافزار کاربران را فریب می‌دهد تا نسخه جعلی سرویس‌هایی تحت عنوان Google Translate و دانلود کننده MP3 مانند YouTube Music  را دانلود کنند. بدافزار مذکور به دلیل فرآیند پیچیده و چندمرحله‌ای طراحی شده آلوده کردن سیستم قربانی، می‌تواند تا مدت‌ها مخفی بماند و فرآیند را تا یک ماه به تأخیر بیاندازد. پس از اجرای نرم‌افزار، این بدافزار با اتصال به سرور فرمان و کنترل خود و دریافت ابزار استخراج CPU XMRig، عملیات استخراج مونرو (XMR) را آغاز می‌کند.
مهاجمان با هدف کاربران جهت دانلود نسخه دسکتاپ سرویس‌هایی مانند YouTube Music و Microsoft Translator در وب‌سایت‌هایی همچون Softpedia که از جمله ارئه‌دهندگان نرم‌افزارهای رایگان می‌باشند، برای آن‌ها تله می‌گذارند و این در حالی است که این سرویس‌ها در واقع هیچ نسخه دسکتاپ رسمی ندارند.
گفتنی است پس از پست شدن Applet در Softpedia، بیش از 112190 مرتبه Nitrokod’s Applet برایGoogle Translate دانلود شده است.

 توصیه‌های امنیتی
خطرات بدافزار استخراج ارز دیجیتال می‌تواند بسیار زیاد باشد و منجر به آسیب رساندن به سخت‌افزار شود. همچنین با استفاده از منابع CPU اضافی بر عملکرد رایانه شما تأثیر می‌گذارد که به نوبه خود باعث کند شدن رایانه خواهد شد؛ لذا به کاربران توصیه می‌شود جهت پیش‌گیری از خطرات احتمالی، توصیه‌های امنیتی زیر را در نظر بگیرند:
•    از دانلود کردن اپلیکیشن‌ها از منابع ناشناس خودداری کنید.
•    به دنبال دانلود اپلیکیشن‌‌ها، از کلیک روی پیوندها و تبلیغات اطراف صفحه خودداری کنید.
منابع خبر

https://gbhackers.com/malware-disguised-as-google-translate/
 

مقدمه
اخیرا یک آسیب‌پذیری افزایش دسترسی‌های local در مجموعه ابزارهای VMware  که بر هر دو سیستم‌عامل ویندوز و لینوکس تاثیر می‌گذارد، شناسایی شده است.
جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسه "CVE-2022-31676" و CVSSv3 7.0، می‌تواند توسط مهاجمان برای افزایش امتیازات به عنوان یک کاربر root در ماشین مجازی مورد بهره‌برداری قرار گیرد.
VMware Tools مجموعه‌ای از ابزارهای نرم‌افزاری است که برای بهبود عملکرد سیستم‌عامل مهمان VM و همچنین مدیریت منابع خود ماشین مجازی استفاده می‌شود.
محصولات تحت تأثیر
VMware Tools در هر دو نسخه ویندوز و لینوکس تحت تاثیر این نقص قرار دارند.
توصیه‌های امنیتی
این آسیب‌پذیری توسط Vmware در نسخه 12.1.0 برای ویندوز و 10.3.25 برای لینوکس وصله شده است. به کاربران توصیه می‌شود نرم‌افزار خود را نسخه‌های وصله شده به‌روزرسانی کنند.
 

منبع

https://gbhackers.com/vmware-tools-suite-flaw/

مقدمه
شرکت Atlassian  برای یک نقص امنیتی مهم با شدت ۹.۹ از ۱۰ در Bitbucket Server و Data Center که منجر به اجرای کدهای مخرب خواهد شد، وصله امنیتی منتشر کرد.

جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسه‌‌ی CVE-2022-36804 می‌تواند از طریق درخواست‌های HTTP ساختگی مورد بهره‌برداری قرار گیرد. مهاجم با دسترسی به مخزن عمومی  Bitbucket و یا از طریق اخذ مجوز خواندنِ مخزن خصوصی می‌تواند کد دلخواه خود را با ارسال یک درخواست HTTP مخرب اجرا کند.

محصولات تحت تأثیر
این نقص امنیتی که توسط محقق امنیتی TheGrandPew@ کشف و گزارش شده است، تمام نسخه‌های بعد از 6.10.17، شامل نسخه 7.0.0 و جدیدتر را در Bitbucket Server و Datacenter تحت تأثیر قرار می‌دهد، نسخه‌های تحت تأثیر شامل موارد ذیل می‌باشد: 

•    Bitbucket Server and Datacenter 7.6
•    Bitbucket Server and Datacenter 7.17
•    Bitbucket Server and Datacenter 7.21
•    Bitbucket Server and Datacenter 8.0
•    Bitbucket Server and Datacenter 8.1
•    Bitbucket Server and Datacenter 8.2, and
•    Bitbucket Server and Datacenter 8.3

توصیه‌های امنیتی
به کاربران توصیه می‌شود جهت پیش‌گیری از خطرات احتمالی ناشی از این آسیب‌پذیری‌ در اسرع وقت نسخه‌های به‌روزرسانی‌شده محصولات تحت تأثیر را بر روی دستگاه خود نصب کنند.
شرکت Atlassian به عنوان یک راه حل موقت در مواردی که کاربران امکان اعمال فوری وصله‌های امنیتی منتشر شده را ندارند به آن‌ها توصیه می‌کند مخازن عمومی را جهت جلوگیری از سوء استفاده مهاجمان با استفاده از "feature.public.access=false" خاموش کنند.
 منبع خبر

پلتفرم Red Hat Process Automation Manager به کسب و کارها کمک می‌کند که راهکارهای اتوماسیون cloud-native و مبتنی بر میکروسرویس‌ها را ایجاد نمایند. این برنامه در نسخه 7 یک آسیب‌پذیری بحرانی (9.8 از 10) دارد. در این آسیب‌پذیری مهاجم می‌تواند یک حمله brute force را برعلیه Administator Console بکار ببرد. علت این است که این پلتفرم تعداد تلاش‌های ناموفق برای ورود را محدود نمی‌کند و لذا یک مهاجم می‌تواند با ارسال تعداد زیادی رمز عبور و/یا نام کاربری احتمالی، به برنامه دسترسی پیدا کند. جدول زیر مشخصات این آسیب‌پذیری را نشان می‌دهد.

منابع

https://nvd.nist.gov/vuln/detail/CVE-2022-2457#range-8219506

دو آسیب‌پذیری حیاتی شناسایی شده در سرویس دهنده‌ی ایمیل زیمبرا بصورت گسترده مورد سواستفاده مهاجمین قرار گرفته است. این دو آسیب‌پذیری شامل آسیب‌پذیری RCE به شناسه‌ی CVE-2022-27925 و آسیب‌پذیری authentication bypass به شناسه‌ی CVE-2022-37042 است.  ترکیب این دو آسیب پذیری باعث شده مهاجم بتواند با ایجاد یک فایل ZIP محتوی یک فایل با آدرس نسبی، نسبت به جایگزاری فایل در مسیر مشخص اقدام کنند. این دو آسیب‌پذیری در patch نسخه‌های 9.0.0P26  و 8.8.15P33 رفع شده‌اند.
بهره‌برداری از این آسیب‌پذیری از طریق ارسال درخواست HTTP post به سرویس دهنده‌ی وب زیمبرا صورت می‌گیرد.
 

با توجه به سواستفاده گسترده از این آسیب‌پذیری‌ها طی یک  ماه گذشته، چنانچه سرویس webmail زیمبرا بر روی اینترنت قرار داشته، به احتمال بسیار زیاد مورد نفوذ قرار گرفته است.
بمنظور بررسی نفوذ احتمالی لازم است اقدامات زیر صورت پذیرد:

1.  بررسی لاگ‌های دسترسی webmail و جستجوی الگوی حمله

برای این منظور به شرط در دسترس بودن لاگ‌های access log بلندمدت (بیش از یک ماه) می توان با جستجوی عبارت زیر، اقدام به سواستفاده‌ از آسیب‌پذیری را بررسی کرد:

mboximport?account-name=admin

به عنوان نمونه، می توان در کنسول سیستم عامل میزبان زیمبرا به صورت زیرجستجوی فوق را انجام داد:

sudo grep -r "mboximport?account-name=admin" /opt/zimbra/log

2. در صورت نفوذ موفق به سرور از این روش،‌ مهاجم از طریق بارگزاری webshell در سرویس دهنده‌ی وب، امکان اجرای فرامین را از راه دور بدست می‌آورد. جهت کشف وب‌شل‌های بارگزاری شده‌ی احتمالی، می‌توان نسبت به مقایسه فایل‌های “.jsp” سرویس‌دهنده وب با فهرست فایل‌های موجود در زیمبرا اقدام کرده و هر فایل مشاهده اضافی را مورد بررسی قرار داد. فهرست فایل‌های  مجاز “.jsp” برخی از نسخه‌های زیمبرا در آدرس زیر موجود است:

https://github.com/volexity/threat-intel/tree/main/2022/2022-08-10%20Mass%20exploitation%20of%20(Un…

３. در صورت تایید نفوذ مهاجمین به سرور:

• احتمال دسترسی مهاجم یه تمامی اطلاعات سرور از جمله محتوای ایمیل‌ها وجود دارد.
• لازم است نسبت به نصب سرور جدید، نصب آخرین بروزرسانی و patch منتشر شده و انتقال تنظیمات و اطلاعات ایمیل‌ها به سرور جدید اقدام گردد. جهت این کار می‌توان از راهنمای زیر استفاده نمود:

https://wiki.zimbra.com/wiki/Steps_To_Rebuild_ZCS_Server

منابع:

1. https://www.volexity.com/blog/2022/08/10/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-2…
2. https://www.greynoise.io/blog/zimbra-collaboration-suite-vulnerability-analysis
    

 مقدمه
گوگل کروم یک بروزرسانی امنیتی جدید برای کاربران ویندوز، لینوکس و مک جهت رفع چندین آسیب‌پذیری و همچنین رفع یک آسیب‌پذیری روز صفر با شدت بالا منتشر کرد.

جزئیات آسیب‌پذیری
کروم 104 با رفع 11 آسیب‌پذیری امنیتی از جمله یک آسیب‌پذیری با شدت بحرانی و 6 آسیب‌پذیری با شدت بالا که توسط تیم Google Project Zero و محققان امنیتی دیگر گزارش شده‌اند، منتشر شد. آسیب‌پذیری بحرانی با شناسه "CVE-2022-2852" که توسط Sergei Glazunov از تیم Google Project Zero گزارش شده است، به مهاجمان اجازه می‌دهد از راه دور کنترل سیستم را بدست بگیرند.
در سال جاری 5 آسیب‌پذیری روز صفر شناسایی شده است که آخرین آسیب‌پذیری با شناسه "CVE-2022-2856" و شدت بالا گزارش شده است. 4 آسیب‌پذیری دیگر عبارتند از:

•    CVE-2022-2294: 4 ژوئیه
•    CVE-2022-1364: 14 آوریل
•    CVE-2022-1096: 25 مارس
•    CVE-2022-0609: 14 فوریه

محصولات تحت تأثیر

مرورگر گوگل کروم برای ویندوز، لینوکس و مک تحت تاثیر این آسیب‌پذیری‌ها قرار دارند.

توصیه‌های امنیتی
طبق گزارش گوگل، نسخه‌های وصله شده 104.0.5112.101 برای مک و 104.0.5112.102 یا  104.0.5112.101 برای ویندوز منتشر شده است. جهت بروزرسانی کروم مراحل زیر را دنبال کنید:
به بخش Settings بروید.
سپس بر روی گزینه Help کلیک کنید.
پس از آن باید گزینه About Google Chrome را انتخاب کنید.
اکنون مرورگر شما به طور خودکار بروزرسانی جدید را بررسی کرده و آن را نصب می‌کند.

منابع خبر:

https://gbhackers.com/warning-new-chrome-0-day-bug-being-exploited-in-the-wide/

وجود آسیب‌پذیری بحرانی با شناسه CVE-2022-34943 و شدت خطر CVSSv3 9.8 در فریمورک Laravel که در صورت سوء استفاده موفق مهاجم احراز هویت نشده راه دور می‌تواند کد دلخواه خود را بر روی سرویس دهنده آسیب‌پذیر اجرا نماید. لازم به ذکر است این آسیب‌پذیری به صورت گسترده در اینترنت مورد سواستفاده قرار گرفته است و پیلود مربوطه به قیمت 5 هزار دلار به فروش می رسد. آسیب پذیری مذکور مربوط به یکی از توابع کمکی لاراول به نام ChanceGenerator هست که استفاده موفق از این ضعف منجر به افزایش سطح دسترسی میگردد. سپس مهاجم را قادر می‌سازد تا کد مورد نظر خود را بر روی سرویس دهنده اجرا نماید که پیامد های مخرب آتی را به دنبال خواهد داشت.

نسخه‌های آسیب‌پذیر
لاراول نسخه 5.1 تحت تاثیر این آسیب پذیری قرار میگیرد.

راه‌حل
به دلیل وجود این آسیب پذیری تنها در نسخه 5.1 فریمورک لاراول ، کارشناسان امنیتی می توانند سریعا نسبت به تغییر نسخه مورد استفاده و به روز رسانی اقدام کنند. لاراول نسخه 9 در مورخه 18 اسفند 1400 منتشر شده و جدیدترین نسخه موجود می باشد که بسیاری از موارد امنیتی در این نسخه لحاظ گردیده است و نحوه به روز رسانی به نسخه های مختلف در وب سایت رسمی لاراول توضیح داده شده است .
منبع:

https://cve.report/CVE-2022-34943

مقدمه
یک آسیب‌پذیری در رابط مدیریت وب AsyncOS سیسکو برای Secure Web Appliance که قبلا به نام Web Security Appliance (WSA) شناخته می‌شد، کشف شده است که به یک مهاجم احراز هویت شده اجازه می‌دهد از راه دور دستور دلخواه خود را تزریق کند و امتیازات خود را به امتیازات کاربر root افزایش دهد.
جزئیات آسیب‌پذیری
آسیب‌پذیری مذکور با شناسه "CVE-2022-20871"  و شدت بالا گزارش شده است. این آسیب‌پذیری به دلیل اعتبارسنجی ناکافی ورودی ارائه شده توسط کاربر برای این رابط وب اتفاق می‌افتد. مهاجم می‌تواند با احراز هویت از طریق سیستم و ارسال یک بسته  HTTP جعلی به دستگاه آسیب‌دیده، از این آسیب‌پذیری سوءاستفاده کند. یک بهره‌برداری موفق مهاجم را قادر می‌سازد تا دستورات دلخواه خود را بر روی سیستم عامل اصلی اجرا کند و امتیازات خود را در حد کاربر root افزایش دهد. برای بهره‌برداری موفق از این آسیب‌پذیری، مهاجم حداقل به امتیاز read-only نیاز دارد.
محصولات تحت تأثیر
این آسیب‌پذیری AsyncOS را برای Secure Web Appliance، هم در دستگاه‌های مجازی و هم سخت‌افزاری تحت تاثیر قرار می‌دهد.
به تایید سیسکو، محصولات زیر آسیب‌پذیر نیستند:
•    Email Security Appliance (ESA) هم در دستگاه‌های مجازی و هم سخت‌افزاری
•    Secure Email and Web Manager که قبلا Security Management Appliance (SMA) شناخته می‌شد، هم در دستگاه‌های مجازی و هم سخت‌افزاری
توصیه‌های امنیتی
به کاربران توصیه می‌شود هر چه سریعتر نرم‌افزار خود را به آخرین نسخه وصله شده، مطابق جدول زیر ارتقاء دهند.

در بیشتر موارد، این نرم‌افزار را می‌توان از طریق شبکه با استفاده از گزینه‌های System Upgrade در رابط وب Secure Web Appliance ارتقاء داد. جهت ارتقاء دستگاه با کمک رابط وب، مراحل زیر را انجام دهید:

• System Administration > System Upgrade را انتخاب کنید.
• روی گزینه‌های Upgrade کلیک کنید.
• Download و Install را انتخاب کنید.
• نسخه موردنظر خود را انتخاب کنید.
• در قسمت Upgrade Preparation، گزینه‌های مناسب را انتخاب کنید.
• روی Proceed کلیک کنید تا عملیات ارتقاء آغاز شود.
• پس از پایان کار دستگاه مجددا راه‌اندازی می‌شود.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-prv-esc-8PdRU8t8