مقدمه
کارشناسان امنیت سایبری در هر یک از نرم‌افزارهایCisco Adaptive Security Appliance (ASA)  و  Cisco Firepower Threat Defense (FTD) آسیب‌پذیری‌ با شدت بالا و شناسه‌های CVE-2022-20715 و CVE-2022-20866 کشف کردند.
جزئیات آسیب‌پذیری
آسیب‌پذیری با شناسه‌‌ی CVE-2022-20715 امکان دسترسی از راه دور SSL VPN را برای مهاجم احراز هویت نشده فراهم می‌آورد و به او اجازه می‌دهد تا از راه دور در دستگاهِ تحت تأثیر این آسیب‌پذیری حمله‌ی انکار سرویس (DoS) انجام دهد. آسیب‌پذیری با شناسه‌‌ی CVE-2022-20866 نیز مربوط به نقص امنیتی در مدیریت کلیدهای RSA دستگاه‌هایی است که از نرم‌افزارهای تحت تأثیر آن استفاده می‌کنند که به مهاجم احراز هویت نشده اجازه دهد تا از راه دور کلید خصوصی RSA را بازیابی کند.
محصولات تحت تأثیر
این آسیب‌پذیری بر محصولاتی تأثیر می‌گذارد که نسخه آسیب‌پذیر نرم‌افزار Cisco ASA یا FTD را اجرا کنند و دارای پیکربندی AnyConnect یا WebVPN آسیب‌پذیر باشند.
محصولات تحت تأثیر آسیب‌پذیری با شناسه‌ی CVE-2022-20715:
 برای بررسی آن که آیا نرم‌افزارهای ASA و FTD که در حال اجرا هستند، تحت تأثیر این آسیب‌پذیری قرار دارند یا خیر، از دستور show-running-config CLI استفاده کنید. در ستون سمت چپ جداول زیر، ویژگی‌های نرم‌افزار Cisco ASA و Cisco FTD که آسیب‌پذیر هستند را مشاهده می‌کنید. ستون سمت راست نیز خروجی خط فرمان show running-config CLI را در دستگاهی که این ویژگی را فعال کرده است نشان می‌دهد که حاکی از آسیب‌پذیر بودن آن است.

محصولات تحت تأثیر آسیب‌پذیری با شناسه‌ی CVE-2022-20866:
در صورتی که محصولات سیسکو زیرکه عملکردهای رمزنگاری مبتنی بر سخت‌افزار را انجام می‌دهند، نسخه آسیب‌پذیر نرم‌افزار Cisco ASA یا نرم‌افزار Cisco FTD را اجرا کنند، تحت تأثیر آن قرار خواهند گرفت:

در ستون سمت چپ جداول زیر، ویژگی‌های نرم‌افزار Cisco ASA و Cisco FTD که آسیب‌پذیر هستند را مشاهده می‌کنید. اگر یک کلید RSA نادرست یا حساس با پیکربندی ویژگی ذکر شده مرتبط باشد، به طور بالقوه آسیب‌پذیر است. ستون سمت راست نیز خروجی خط فرمان show running-config CLI را در دستگاهی که این ویژگی را فعال کرده است نشان می‌دهد که حاکی از آسیب‌پذیر بودن آن است. 
 

توصیه‌های امنیتی
به کاربران توصیه می‌شود جهت پیش‌گیری از خطرات احتمالی ناشی از این آسیب‌پذیری‌ها در اسرع وقت نسخه‌های به‌روزرسانی‌شده محصولات تحت تأثیر را که در ادامه به آن‌ها اشاره شده است، بر روی دستگاه خود نصب کنند.
به‌روزرسانی‌های منتشر شده برای آسیب‌پذیری با شناسه‌ی CVE-2022-20715:
به‌روزرسانی‌های منتشر شده برای نرم‌افزار Cisco Adaptive Security Appliance (ASA)
 

* شرکت سیسکو دیگر از نرم‌افزار Cisco ASA نسخه 9.7 و قبل از آن و همچنین نسخه‌های 9.9، 9.10 و 9.13 به قبل پشتیبانی نمی‌کند و به مشتریان توصیه می‌شود به نسخه‌های دیگری که مشمول پشتیبانی می‌شوند مهاجرت کنند.
به‌روزرسانی‌های منتشر شده برای نرم‌افزار Cisco Firepower Threat Defense (FTD)
 

* شرکت سیسکو دیگر از نرم‌افزار Cisco FMC و  FTD  نسخه 6.2.2 و قبل از آن و همچنین نسخه‌های 6.3.0 و 6.5.0 به قبل پشتیبانی نمی‌کند و به مشتریان توصیه می‌شود به نسخه‌های دیگری که مشمول پشتیبانی می‌شوند مهاجرت کنند.

به‌روزرسانی‌های منتشر شده برای آسیب‌پذیری با شناسه‌ی CVE-2022-20866:
به‌روزرسانی‌های منتشر شده برای نرم‌افزار Cisco Adaptive Security Appliance (ASA)
 

* شایان ذکر است اگر کاربران، نرم‌افزار Cisco ASA را به نسخه آسیب‌پذیر ارتقاء داده‌اند، هر چه سریع‌تر آن را به نسخه‌ی غیرآسیب‌پذیر تنزل داده و از معتبر بودن کلیدهای RSA اطمینان حاصل کنند. به عنوان مثال، اگر نرم‌افزار خود را به نسخه 9.16.1 ارتقا داده‌اید، آن را به نسخه 9.14.3.18 برگردانید.
به‌روزرسانی‌های منتشر شده برای نرم‌افزار Cisco Firepower Threat Defense (FTD)

* شایان ذکر است اگر کاربران، نرم‌افزار Cisco FTD را به نسخه آسیب‌پذیر ارتقاء داده‌اند، هر چه سریع‌تر آن را به نسخه‌ی غیرآسیب‌پذیر تنزل داده و از معتبر بودن کلیدهای RSA اطمینان حاصل کنند. به عنوان مثال، اگر نرم‌افزار خود را به نسخه 7.0.0 ارتقا داده‌اید، آن را به نسخه 6.4.0.15 برگردانید.
منابع خبر

#‫مایکروسافت در به‌روزرسانی روز سه‌شنبه 9 آگوست 2022، 118 #‫آسیب‌پذیری را در محصولات خود برطرف کرده است. از این 118 آسیب‌پذیری، 17 مورد دارای شدت بحرانی و 101 مورد به عنوان مهم طبقه‌بندی شده‌اند.

این 118 نقص شامل آسیب‌پذیری‌های زیر بوده‌اند:

• 31 مورد Remote Code Execution
• 64 مورد Elevation of Privilege
• 7 مورد Denial of Service
• 12 مورد Information Disclosure
• 1 مورد Spoofing
• 3 مورد Security Feature Bypass

طبق نمودار زیر، سهم بالاتر مربوط به Elevation of privilege (EoP) و پس از آن،Remote Code Execution (RCE) از آسیب‌پذیری‌های وصله‌شده در این ماه را تشکیل می‌دهند.

برخی از آسیب‌پذیری‌های مهم این ماه به شرح زیر می‌باشند:

• CVE-2022-21980، CVE-2022-24516 و CVE-2022-24477: آسیب‌پذیری‌های ارتقاء سطح دسترسی در Microsoft Exchange Server: این سه آسیب‌پذیری با شدت "بحرانی" در Microsoft Exchange Server وجود دارند و برای بهره‌برداری موفق نیازمند احراز هویت و تعامل با کاربر هستند. بنابراین مهاجم باید قربانی را با روش‌هایی مانند فیشینگ به بازدید از یک Exchange server ساختگی ترغیب کند تا بتواند از این آسیب‌پذیری‌ها بهره‌برداری نماید. مایکروسافت به منظور کاهش خطرات ناشی از این آسیب‌پذیری‌ها فعال‌سازی Extended Protection را توصیه می‌کند.
• CVE-2022-35804: آسیب‌پذیری اجرای کد از راه دور در کلاینت و سرور پروتکل SMB: یک آسیب‌پذیری RCE با شدت "بحرانی" که سرور و کلاینتِ Message Block (SMB) Server را در سیستم‌هایی که دارای سیستم‌عامل Windows 11 هستند و از پروتکل Microsoft SMB 3.1.1 (SMBv3) استفاده می‌کنند تحت تأثیر قرار می‌دهد. این آسیب‌پذیری یادآور آسیب‌پذیری‌های قبلی SMB مانند آسیب‌پذیری اخیر«EternalDarkness» با شناسه CVE-2020-0796 است که یک نقص RCE در SMB 3.1.1 بود و یا نقص EternalBlue SMBv1 که در MS17-010 در مارس 2017 وصله شد و به عنوان بخشی از رخداد WannaCry مورد سوءاستفاده قرار گرفت. از آنجا هر گونه نقصی در این پروتکل می‌تواند سناریوی WannaCry دوم را منجر شود بنابراین هر چه سریع‌تر باید اقدامات لازم جهت رفع این آسیب‌پذیری صورت گیرد.
• CVE-2022-34691: آسیب‌پذیری ارتقاء سطح دسترسی در Active Directory Domain Services: این آسیب‌پذیری با شدت "بحرانی"، می‌تواند توسط یک مهاجم احراز هویت شده برای دستکاری attributeهای حساب‌های کاربری و احتمالاً دریافت گواهی از Active Directory Certificate Services مورد سوءاستفاده قرار گیرد. این گواهی به مهاجم اجازه می‌دهد سطح دسترسی خود را ارتقاء دهد. بهره‌برداری از این نقص تنها در صورتی امکان‌پذیر است که Active Directory Certificate Services بر روی دامنه در حال اجرا باشد.
• CVE-2022-34713 و CVE-2022-35743: آسیب‌پذیری‌های اجرای کد از راه دور در ابزار Microsoft Windows Support Diagnostic Tool (MSDT) : این آسیب‌پذیری‌ها که به عنوان "مهم" دسته‌بندی شده‌اند، نقص‌های RCE در ابزار تشخیصی پشتیبانی مایکروسافت به نام MSDT هستند. نقص CVE-2022-34713 اولین بار در ژانویه 2020 فاش شد و مایکروسافت تصمیم گرفت این نقص را در آن زمان برطرف نکند، اما به دنبال افزایش علاقه به MSDT که با کشف و بهره‌برداری از نقص CVE-2022-30190 (aka Follina) برانگیخته شد، مایکروسافت این آسیب‌پذیری را در این ماه اصلاح کرد. به گفته‌ی محققانِ Proofpoint، Symantec و Cyberint، مهاجمان Follina را در کمپین‌های خود گنجانده‌اند و در کمین حمله هستند، بنابراین اکیداً به سازمان‌ها توصیه می‌شود در اسرع وقت وصله‌های موجود را برای این آسیب‌پذیری‌ها اعمال کنند.
• CVE-2022-35755 و CVE-2022-35793: آسیب‌پذیری‌های ارتقاء سطح دسترسی در Windows Print Spooler: این آسیب‌پذیری‌ها که به عنوان "مهم" دسته‌‌بندی شده‌اند، در مؤلفه‌های Windows Print Spooler وجود دارند. آسیب‌پذیری CVE-2022-35755 را می‌توان با استفاده از یک "فایل ورودی" ساختگی مورد سوءاستفاده قرار داد، در حالی که بهره‌برداری از CVE-2022-35793 نیاز به کلیک کاربر بر روی یک URL ساختگی خاص دارد. بهره‌برداری موفق از هر دو آسیب‌پذیری سطح دسترسی SYSTEM را به مهاجم می‌دهند. با غیرفعال کردن سرویس Print Spooler می‌توان خطرات هر دو آسیب‌پذیری‌ را کاهش داد، اما برای نقص CVE-2022-35793، اقدام کاهشی از طریق غیرفعال کردن inbound remote printing در Group Policy نیز امکان‌پذیر است.
• 31 آسیب‌پذیری ارتقاء سطح دسترسی در Azure Site Recovery: Azure Site Recovery مجموعه‌ای از ابزارهای مورد استفاده برای بازگشت از فاجعه است که در این ماه تعداد قابل توجهی از آسیب‌پذیری‌های آن وصله شده است. تمام این آسیب‌پذیری‌ها تحت عنوان "مهم" دسته‌بندی شده‌اند.

محصولات تحت تأثیر

• .NET Core
• Active Directory Domain Services
• Azure Batch Node Agent
• Azure Real Time Operating System
• Azure Site Recovery
• Azure Sphere
• Microsoft ATA Port Driver
• Microsoft Bluetooth Driver
• Microsoft Edge (Chromium-based)
• Microsoft Exchange Server
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office Outlook
• Microsoft Windows Support Diagnostic Tool (MSDT)
• Remote Access Service Point-to-Point Tunneling Protocol
• Role: Windows Fax Service
• Role: Windows Hyper-V
• System Center Operations Manager
• Visual Studio
• Windows Bluetooth Service
• Windows Canonical Display Driver
• Windows Cloud Files Mini Filter Driver
• Windows Defender Credential Guard
• Windows Digital Media
• Windows Error Reporting
• Windows Hello
• Windows Internet Information Services
• Windows Kerberos
• Windows Kernel
• Windows Local Security Authority (LSA)
• Windows Network File System
• Windows Partition Management Driver
• Windows Point-to-Point Tunneling Protocol
• Windows Print Spooler Components
• Windows Secure Boot
• Windows Secure Socket Tunneling Protocol (SSTP)
• Windows Storage Spaces Direct
• Windows Unified Write Filter
• Windows WebBrowser Control
• Windows Win32K

نحوه‌ی وصله یا به‌روزرسانی محصولات آسیب‌پذیر در لینک زیر آورده شده است:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Aug

کارشناسان امنیت سایبری اخیراً در آزمایشگاه تحقیقاتی Cyble افزایش تعداد حملات #‫بدافزار Stegomalware با استفاده از روش Steganography را گزارش داده‌اند. Steganography عمدتاً روشی است که در آن، داده‌ها در یک پیام یا فایل معمولی از نوع فایل متنی، تصویر و ویدیو به روشی خاص پنهان می‌شوند.

جزئیات آسیب‌پذیری
بدون شک می‌توان گفت Steganography یکی از دشوارترین روش‌های مورد استفاده در حملات صورت گرفته توسط بدافزارها می‌باشد. بدافزار Stegomalware از روش image steganography جهت عدم شناسایی توسط مکانیسم‌های تشخیص مانند نرم‌افزارهای آنتی‌ویروس و سیستم‌های ضد بدافزار استفاده می‌کند. در این فرآیند یک فایل اجرایی (exe) مخرب معمولاً به عنوان یک فایل تصویری مجاز پنهان می‌شود و سپس با استفاده از تکنیک Image Steganography به فایل تصویری مذکور تزریق خواهد شد. گزارش‌ها نشان می‌دهد که در نتیجه‌ی استفاده از روش Image Steganography، بیش از 1800 نمونه بدافزار در 90 روز گذشته شناسایی شده است. در تصویر زیر خلاصه‌ای از توزیع بدافزار stegomalware به صورت ماهانه نمایش داده شده است.

شایان ذکر است که چندین بدافزار شناخته‌شده وجود دارند که از روش Steganography جهت انجام حملات خود استفاده می‌کنند، از جمله:

• Knotweed
• Web Shells
• Hacking Tools: Mimikatz, Rubeus
• NanoCore RAT
• AgentTesla
• XLoader

محصولات تحت تأثیرکلیه رایانه‌های شخصی، لپ‌تاپ و تلفن‌های همراه با هر سیستم عاملی می‌توانند تحت تأثیر این بدافزار قوی قرار گیرند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود جهت کاهش خطرات ناشی از این بدافزار، موارد زیر را در نظر داشته باشند:

• از آخرین تکنیک‌ حملاتی که توسط مهاجمان مورد استفاده قرارمی‌گیرد آگاه باشید.
• مطمئن شوید که دستگاه‌های شما، از جمله رایانه‌های شخصی، لپ‌تاپ‌ها و تلفن‌های همراه، توسط یک آنتی‌ویروس قوی محافظت می‌شوند.
• جهت جلوگیری از نشت و سرقت داده‌ها توسط بدافزارها و تروجان‌ها، beacon را در سطح شبکه رصد کنید.
• هنگام بررسی تصاویر مشکوک، محتویات فایل‌های مشکوک را نیز بررسی کنید.
• توصیه می‌شود قبل از دانلود هر فایل، منبع آن را بررسی کنید.
• رمزهای عبور خود را در فواصل زمانی منظم، به‌روزرسانی کنید.
• قبل از دریافت فایل‌ها و لینک‌های پیوست شده به ایمیل، از سلامت آن‌‌ها اطمینان حاصل کنید.
• URLهای پخش‌کننده ویروس مانند تورنت ها و warez باید مسدود شوند.
• اطمینان حاصل کنید که سیستم شما به راه‌‎حل‌های پیشگیری از، از دست دادن داده (DLP) مجهز است.

منبع خبر:

https://gbhackers.com/stegomalware-surge-attackers-using-file-video-image-others-to-hide-malware/

VMware تعداد 10 نقص امنیتی را در محصولات خود برطرف نموده است. این شرکت همچنین در خصوص وصله‌ی #‫آسیب‌پذیری بحرانی دور زدن فرآیند احراز هویت در برخی از محصولات خود که کاربران local domain را تحت تأثیر قرار می‌دهد و مهاجم احراز‌ هویت‌ نشده را قادر می‌سازد تا امتیازات ادمین را به دست آورد، به مدیران هشدار داد.

جزئیات آسیب‌پذیری
CVE-2022-31656: این آسیب‌پذیری با شدت بحرانی (9.8 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص دور زدن فرآیند احراز هویت است که کاربران local domain را تحت تأثیر قرار می‎دهد. یک مهاجم با دسترسیِ شبکه به رابط کاربری ممکن است بتواند بدون نیاز به احراز هویت دسترسی ادمین را به دست آورد.
CVE-2022-31658: این آسیب‌پذیری با شدت بالا (8.0 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص اجرای کد از راه دورِ تزریق JDBC است که به مهاجم با دسترسی ادمین در شبکه اجازه می‌دهد کد دلخواه خود را از راه دور اجرا نماید.
CVE-2022-31659: این آسیب‌پذیری با شدت بالا (8.0 از 10)، که در محصولات VMware Workspace ONE Access و Identity Manager شرکت VMware وجود دارد، یک نقص اجرای کد از راه دورِ تزریق SQL است که به مهاجم با دسترسی ادمین در شبکه اجازه می‌دهد کد دلخواه خود را از راه دور اجرا نماید.
CVE-2022-31660 و CVE-2022-31661: این دو آسیب‌پذیری با شدت بالا (7.8 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارند، نقص‌های ارتقاء سطح دسترسی هستند که به مهاجم با دسترسی محلی اجازه می‌دهند سطح دسترسی خود را به ‘root’ ارتقاء دهد.
CVE-2022-31664: این آسیب‌پذیری با شدت بالا (7.8 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص ارتقاء سطح دسترسی است که به مهاجم با دسترسی محلی اجازه می‌دهد سطح دسترسی خود را به ‘root’ ارتقاء دهد.
CVE-2022-31665: این آسیب‌پذیری با شدت بالا (7.6 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص اجرای کد از راه دورِ تزریق JDBC است که به مهاجم با دسترسی ادمین در شبکه اجازه می‌دهد کد دلخواه خود را از راه دور اجرا نماید.
CVE-2022-31657: این آسیب‌پذیری با شدت متوسط (5.9 از 10)، که در محصولات VMware Workspace ONE Access و Identity Manager شرکت VMware وجود دارد، یک نقص تزریق URL است که به مهاجم با دسترسیِ شبکه اجازه می‌دهد یک کاربر احراز هویت شده را به دامنه‌ی دلخواه هدایت کند.
CVE-2022-31662: این آسیب‌پذیری با شدت متوسط (5.3 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager، Connectors و vRealize Automation شرکت VMware وجود دارد، یک نقص path traversal است که به یک مهاجم با دسترسیِ شبکه اجازه می‌دهد به فایل‌های دلخواه دسترسی پیدا کند.
CVE-2022-31663: این آسیب‌پذیری با شدت متوسط (4.7 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص reflected cross-site scripting (XSS) است که به دلیل پاک‌سازی نامناسب ورودی‌های کاربر ایجاد می‌شود و به مهاجم اجازه می‌دهد با برخی از تعاملات کاربر بتواند کد جاوااسکریپت را در پنجره‌یِ کاربرِ موردِ هدف تزریق کند.

محصولات تحت تأثیر
این آسیب‌پذیری‌ها محصولات زیر را تحت تأثیر قرار می‌دهند:

• VMware Workspace ONE Access (Access)
• VMware Workspace ONE Access Connector (Access Connector)
• VMware Identity Manager (vIDM)
• VMware Identity Manager Connector (vIDM Connector)
• VMware vRealize Automation (vRA)
• VMware Cloud Foundation
• vRealize Suite Lifecycle Manager

توصیه‌های امنیتی
راهنمای به‌روزرسانی و وصله‌های منتشر شده در لینک زیر آورده شده است:

https://www.vmware.com/security/advisories/VMSA-2022-0021.html

زبان برنامه نویسی go در تمام نسخه‌های قبل از 1.17.11 و از نسخه 1.18.0 تا قبل از نسخه 1.18.3 یک آسیب‌پذیری با شدت بالا (7.5 از 10) دارد. منشأ این آسیب‌پذیری تابع Read درکتابخانه /crypto/rand می‌باشد. حلقه نامحدود در این تابع به مهاجم این امکان را می‌دهد تا با ارسال یک بافر بزرگتر از 4294967295 بایتی به تایع، یک هنگ نامحدود را ایجاد نماید.
 

برای رفع این آسیب‌پذیری چهار ماژول این کتابخانه مطابق با اصلاحیه golang به کامیت شماره bb1f4416180511231de6d17a1f2f55c82aafc863 به شرح زیر تغییر یافته‌اند.

1- در ماژولrand.go :
 

2- ماژول rand_batched_test.go:
 

3- ماژول rand_unix:
 

4- ماژول rand_windows.go:
 

منابع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2022-30634#range-8145688
https://github.com/golang/go/commit/bb1f4416180511231de6d17a1f2f55c82aafc863

مخزن akashtalole/python-flask-restful-api در GitHub تا نسخه 2019-09-16 دارای #‫آسیب‌پذیری بحرانی (9.3 از 10) است. این آسیب‌پذیری در تابع send_file کتابخانه flask یافت می‌شود. چنانچه فراخوانی این تابع در ماژول /app/api/exports.py با ورودی نامناسب (دنباله‌ای از "dot-dot-slash (../)" یا مسیرهای کامل فایل‌ها) انجام شود، می‌تواند باعث حمله پیمایش مسیر شده و دسترسی به فایل‌ها و دایرکتورهای اختیاری را که خارج از پوشه ریشه وب قرار دارند، میسر ‌سازد.
ریشه این مساله در قطعه کد زیر نشان داده شده است؛ فراخوانی os.path.join برای استفاده با ورودی نامطمئن، امن نیست. هنگامی که os.path.join با استفاده از یک "مسیر کامل" فراخوانی می‌شود، تمام پارامترهای قبلی را نادیده گرفته و شروع به کار با مسیر کامل جدید می‌کند.

فراخوانی os.path.join با ورودی نامناسب

مشخصات آسیب‌پذیری CVE-2022-31571

برای رفع این آسیب‌پذیر بایستی از اعمال ورودی نامطمئن به تابع آسیب‌پذیر send_file جلوگیری کرد و در صورتی که مطابق با منطق برنامه، این کار ضرورت داشته باشد، می‌توان از werkzeug.utils.safe_join برای استفاده از مسیرهای نامطمئن بهره برد یا فراخوانی‌های flask.send_file را با flask.send_from_directory جایگزین نمود.

منابع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2022-31571#range-8131144
https://github.com/akashtalole/python-flask-restful-api/issues/2

یک #‫بدافزار سرقت اطلاعات به نام Amadey از طریق backdoor دیگری به نام SmokeLoader در حال توزیع است.

جزئیات آسیب‌پذیری
محققان ASEC در گزارشی که به تازگی منتشر کردند، اعلام کرده‌اند که این حملات به فریب کاربران جهت دانلود بدافزار SmokeLoader وابسته است که به عنوان کرک‌های نرم‌افزار ظاهر می‌شود و راه را برای استقرار Amadey هموار می‌کند. Amadey یک بات‌نت است که اولین بار در اکتبر 2018 در فروم‌های زیرزمینی روسیه با قیمت 600 دلار پدیدار شد. این بات‌نت با هدف سرقت اطلاعات، گرفتن اسکرین‌شات، متاداده سیستم و حتی اطلاعات در مورد موتورهای آنتی ویروس و دیگر بدافزارهای نصب‌شده در دستگاه آلوده، مجهز شده است.
مهاجم از این بدافزار جهت سرقت اطلاعات از FileZilla، Pidgin، Total Commander FTP Client، RealVNC، TightVNC، TigerVNC و WinSCP سوءاستفاده می‌کند.

محصولات تحت تأثیر
این بدافزار با قابلیت‌های جدید خود برFileZilla, Pidgin, Total Commander FTP Client, RealVNC, TightVNC TigerVNC و WinSCP تأثیر گذاشته و منجر به سرقت اطلاعات آن‌ها توسط مهاجم خواهد شد. پیش‌تر نیز بدافزار مذکور اطلاعات را از روترهای Mikrotik و Microsoft Outlook به سرقت می‌برد.
به طور کلی هدف اصلی Amadey ، گسترش افزونه‌های اضافی و تروجان‌های دسترسی از راه دور مانند Remcos RAT و RedLine Stealer است که مهاجم را قادر می‌سازد تا پس از بهره‌برداری از آن، مجموعه‌ای از فعالیت‌های را جهت تخریب0020انجام دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود سیستم‌عامل و مرورگر وب نصب شده بر روی دستگاه خود را به آخرین نسخه‌های منتشر شده ارتقاء دهند تا تهدیدات احتمالی ناشی از این بدافزار را به حداقل برسانند، همچنین از استفاده از نرم‌افزارهای غیرقانونی نیز دوری کنند.

منبع خبر:

https://thehackernews.com/2022/07/smokeloader-infecting-targeted-systems.html

مهاجمان از یک نقص امنیتی ناشناخته در پلتفرم متن باز و رایگان فروشگاه‌ساز PrestaShop که جهت تزریق کد اسکیمر مخرب و سرقت اطلاعات حساس طراحی شده است، استفاده می‌کنند.

جزئیات آسیب‌پذیری
این #‫آسیب‌پذیری با شناسه CVE-2022-36408 به مهاجم اجازه خواهد داد تا از راه دور حملات خود را از طریق تزریق کد SQL انجام دهد. گفتنی است از آسیب‌پذیری مذکور در ماه جولای 2022 مورد بهره‌برداری قرار گرفت.
بهره‌برداری موفق از این نقص امنیتی مهاجم را قادر به ارسال درخواستی می‌کند که امکان اجرای دستورالعمل‌های دلخواه را با اهدافی همچون جمع‌آوری اطلاعات کارت بانکی از طریق درگاه پرداخت جعلی به او خواهد داد؛ در واقع در این حملات، مهاجمان کد مخربی را تزریق می‌کنند که قادر به سرقت اطلاعات کارت وارد شده توسط مشتریان در صفحه پرداخت اینترنتی است. به نظر می‌رسد فروشگاه‌هایی که از نسخه‌های قدیمی پرستاشاپ یا ماژول‌های آسیب‌پذیر استفاده می‌کنند، اهداف اصلی مهاجمان هستند.
شرکت توسعه‌دهنده PrestaShop اظهار داشت که مهاجمان راهی برای استفاده از یک آسیب‌پذیری امنیتی در این پلتفرم برای اجرای کد دلخواه در سرورهایی که وب سایت‌های PrestaShop را اجرا می‌کنند، یافته‌اند.
پرستاشاپ یک پلتفرم فروشگاه‌ساز رایگان است، که به کسب و کارهای کوچک و بزرگ کمک می‌کند تا یک فروشگاه آنلاین موفق را ایجاد و اجرا نمایند، این پلتفرم متن باز یا Open Source می‌باشد که بر اساس زبان برنامه نویسی php و پایگاه داده mySQL طراحی شده است. در حال حاضر نزدیک به 300.000 سایت فروشگاهی در سراسر جهان و 6000 فروشگاه در ایران از این پلتفرم استفاده می‌کنند. شایان ذکر است که حملات ناشی از این آسیب‌پذیری حداقل 311 رستوران را نیز در معرض خطر قرار داده است.

محصولات تحت تأثیر
این آسیب‌پذیری بر نسخه‌های 1.6.0.10 تا 1.7 (قبل از 1.7.8.2) پلتفرم PrestaShop تأثیر می‌گذارد.

توصیه‌های امنیتی
شرکت PrestaShop نقص امنیتی مذکور را در نسخه 1.7.8.7 پلتفرم PrestaShop رفع کرد و خاطر نشان شد این وصله امنیتی، حافظه کَش MySQL Smarty را در برابر حملات تزریق کد مقاوم می‌کند.
منابع خبر:

https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/
https://nvd.nist.gov/vuln/detail/CVE-2022-36408

شرکت امنیتی SonicWall به‌روزرسانی‌های امنیتی برای رفع نقص بحرانی تزریق کدSQL (SQLi) در محصولات Analytics On-Prem و Global Management System (GMS) منتشر کرد. این #‫آسیب‌پذیری با شناسه CVE-2022-22280 دارای شدت 9.4 می‌باشد و مهاجم پس از تزریق کد SQL می‌تواند بررسی‌های امنیتی را دور زده و یا جهت درج عبارات اضافی که منجر به تغییر back-end پایگاه داده خواهد شد از آن سوءاستفاده کند. به گفته‌ی کارشناسان امنیتی شرکت SonicWall، احتمال بهره‌برداری از این آسیب‌پذیری با بکارگیری Web Application Firewall (WAF) و انسداد تلاش‌های مخرب SQLi کاهش می‌یابد. محصولات Analytics On-Prem نسخه‌های 2520-2.5.0.3 و قبل‌تر و Global Management System (GMS) نسخه‌های Hotfix1-sp2-9.3.1 و قبل‌تر تحت تأثیر این آسیب‌پذیری هستند.
به سازمان‌هایی که از محصولات تحت تأثیر این آسیب‌پذیری استفاده می‌کنند توصیه می‌شود محصولات خود را به نسخه‌های زیر ارتقا دهند:

• Analytics 2.5.0.3-2520-Hotfix1
• GMS 9.3.1-SP2-Hotfix-2

منبع خبر:

https://thehackernews.com/2022/07/sonicwall-issues-patch-for-critical-bug.html

دروپال چهار #‫آسیب‌پذیری را در این سیستم مدیریت محتوای محبوب برطرف نموده است. این آسیب‌پذیری‌ها که طبق امتیازدهی دروپال دارای شدت "بحرانی" و "متوسط بحرانی" رتبه‌بندی شده‌اند، امکان اجرای کد دلخواه PHP، دور زدن دسترسی و افشای اطلاعات را برای مهاجم فراهم می‌کنند. لازم به ذکر است که دروپال به جای CVSS از سیستم امتیازدهی NIST Common Misuse Scoring System برای رتبه‌بندی آسیب‌پذیری‌ها استفاده کرده است که در آن شدت‌ها به صورت "کمتر بحرانی"، "متوسط بحرانی"، "بحرانی" و "بسیار بحرانی" دسته‌بندی می‌شوند.

جزئیات آسیب‌پذیری
مهم‌ترین این آسیب‌پذیری‌ها که شناسه‌ی CVE-2022-25277 به آن اختصاص داده شده است و دارای شدت "بحرانی" می‌باشد، نسخه‌های 9.3 و 9.4 دروپال را تحت تأثیر قرار می‌دهد. این نقص در هسته‌ی دروپال وجود دارد و می‌تواند با آپلود فایل‌های ساختگی منجر به اجرای کد دلخواه PHP در وب‌سرورهای آپاچی شود. دلیل این امر آن است که هسته‌ی دروپال به محض آپلود فایل، نام فایل‌ها را با پسوندهای خطرناکی پاک‌سازی می‌کند و نقطه‌های ابتدایی و انتهایی را از نام فایل‌ها حذف می‌کند تا از آپلود فایل‌های پیکربندی سرور جلوگیری کند. اما با این وجود، محافظت‌های ارائه‌شده برای این دو آسیب‌پذیری قبلاً به درستی باهم کار نمی‌کردند. در نتیجه، اگر سایت به گونه‌ای پیکربندی شده بود که امکان آپلود فایل‌های با پسوند htaccess وجود داشت، نام این فایل‌ها به درستی پاک‌سازی نمی‌شد و این موضوع می‌توانست امکان دور زدن حفاظت‌های ارائه‌شده توسط فایل‌های .htaccess پیش‌فرض هسته‌ی دروپال را فراهم کند و اجرای کد از راه دور در وب‌سرورهای آپاچی را منجر شود.
سه آسیب‌پذیری دیگر نیز که شدت "متوسط بحرانی" به آن‌ها اختصاص داده شده است، هسته‌ی دروپال را تحت تأثیر قرار می‌دهند و بهره‌برداری از آن‌ها می‌تواند منجر به حملات XSS، افشای اطلاعات و یا دور زدن دسترسی شود.

محصولات تحت تأثیر
سه مورد از آسیب‌پذیری‌های مذکور فقط نسخه‌های 9.3 و 9.4 دروپال را تحت تأثیر قرار می‌دهند و یک مورد علاوه بر نسخه‌های 9.3 و 9.4، دروپال 7 را نیز تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی

• در صورت استفاده از دورپال 9.3، آن را به نسخه‌ی 9.3.19 به‌روزرسانی نمایید.
• در صورت استفاده از دورپال 9.4، آن را به نسخه‌ی 9.4.3 به‌روزرسانی نمایید.
• در صورت استفاده از دروپال 7، آن را به نسخه‌ی 7.91 به‌روزرسانی نمایید.

منابع خبر:

https://www.drupal.org/security
https://securityaffairs.co/wordpress/133625/security/drupal-flaws-2.html