کشف آسیب‌پذیری در GitHub Enterprise Server

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-9487 و شدت ۹.۵(بحرانی) در سرور GitHub Enterprise کشف شده است. مهاجمان با بهره‌برداری از این نقص امنیتی، از احراز هویت تک‌عاملی SAML عبور کرده و به صورت غیرمجاز به سیستم نفوذ می‌کنند. این آسیب‌پذیری به دلیل خطا در فرآیند تأیید امضای رمزنگاری شده ایجاد شده است، این امکان را برای  مهاجمان را فراهم می‌سازد تا کاربر جعلی ایجاد کند و به بهره‌برداری از سرور برسد.

محصولات آسیب‌پذیر


تمام نسخه‌های GitHub Enterprise Server قبل از نسخه 3.15 تحت تأثیر این آسیب‌پذیری قرارگرفته‌اند.
 

توصیه‌ امنیتی


•    به‌روزرسانی فوری: به کاربران توصیه می‌شود که در اسرع وقت نسخه آسیب‌پذیر را به آخرین نسخه موجود (3.11.16، 3.12.10 یا 3.13 به بالا) ارتقاء دهند.
•    احراز هویت چندعاملی(MFA): فعال کردن احراز هویت چندعاملی برای تمامی حساب‌های کاربری به منظور افزایش امنیت حساب‌ها توصیه می‌شود. 

منابع خبر:

 


[1]    https://github.com/advisories/GHSA-g83h-4727-5rpv 
[2]    https://nvd.nist.gov/vuln/detail/CVE-2024-9487
[3]    https://thehackernews.com/2024/10/github-patches-critical-flaw-in.html?m=1

رفع چند آسیب‌پذیری حیاتی در D-Link

تاریخ ایجاد

D-Link چند نقص امنیتی مهم در روتر‌های wifi  را رفع کرده است. این آسیب‌پذیری‌ها به مهاجمان از راه دور اجازه می‌دهند کد مخرب خود را اجرا کرده و با استفاده از اطلاعات ورود، به دستگاه‌ها دسترسی پیدا کنند. جزئیات این آسیب‌پذیری‌ها در زیر آمده است:
آسیب‌پذیری اول با شناسه CVE-2024-45694 و شدت 9.8 (بحرانی): این مورد یک نقص امنیتی سرریز بافر مبتنی بر پشته، در وب‌سرویس مدل‌های خاصی از روتر‌های بی‌سیم D-Link است. مهاجمان از راه دور می‌توانند از این آسیب‌پذیری برای اجرای کد دلخواه بر روی دستگاه بهره‌برداری کنند.
آسیب‌پذیری دوم با شناسه  CVE-2024-45695و شدت 9.8(بحرانی): در این نقص امنیتی، مدل‌های خاصی از روترهای بی‌سیم  D-Link تحت تاثیر آسیب‌پذیری سرریز بافر مبتنی بر پشته هستند. مهاجم می‌تواند از این نقص امنیتی برای اجرای کد مخرب بر روی سیستم بهره‌برداری کند.
آسیب‌پذیری سوم با شناسه CVE-2024-45696 و شدت 8.8 ( بحرانی): برخی از مدل‌های روتر D-Link دارای عملکرد پنهانی هستند که به مهاجم اجازه می‌دهند با ارسال بسته‌های خاص به وب‌سرویس،  telnet را فعال کرده و پس از آن، مهاجم با استفاده از اعتبارنامه‌های رمزگذاری‌شده می‌تواند وارد سیستم شود، اما دسترسی به شبکه از راه دور محدود به شبکه محلی است.
آسیب‌پذیری بعدی با شناسه CVE-2024-45697 و شدت 9.8 (بحرانی): برخی از مدل‌های روتر D-Link یک ویژگی پنهان دارند که سرویس telnet را هنگامی که پورت WAN متصل است فعال می‌کند و این امکان را برای مهاجم فراهم می‌کند تا به سیستم دسترسی پیدا کند و دستورات سیستم عامل را با استفاده از اعتبارنامه‌های hard-code ‌‌شده، اجرا کند.
آسیب‌پذیری دیگر با شناسه CVE-2024-45698 و شدت 8.8 (بحرانی): برخی از مدل‌های روتر D-Link دارای آسیب‌پذیری در سرویس telnet هستند که به مهاجم غیرمجاز این اجازه را می‌دهد تا با استفاده از اعتبارنامه‌های رمزگذاری‌شده وارد سیستم شوند و دستورات سیستم‌عامل دلخواه را به دلیل اعتبارسنجی ورودی نامناسب اجرا کند.

محصولات تحت تأثیر و توصیه‌های امنیتی
محصولات زیر تحت تاثیر این آسیب‌پذیری‌ها قرار گرفته‌اند:

D-Link



منبع خبر:


https://securityaffairs.com/168471/security/d-link-rce-wireless-router-models.html

استفاده از حمله جدید RAMBO جهت سرقت اطلاعات از شبکه‌های ایزوله

تاریخ ایجاد

یک حمله جانبی نوین شناسایی شده‌ است که از انتشار امواج رادیویی توسط حافظه رم (RAM) به‌عنوان ابزاری برای استخراج داده‌ها بهره می‌برد و تهدیدی جدی برای شبکه‌های ایزوله از اینترنت (air-gapped networks) به شمار می‌رود. شبکه ایزوله به نوعی از شبکه‌ها گفته می‌شود که به‌طور کامل از سایر شبکه‌ها، به‌ویژه اینترنت، جدا شده‌ باشد. این نوع شبکه‌ها هیچ‌گونه ارتباطی با شبکه‌های خارجی ندارند و اغلب برای محافظت از اطلاعات حساس، مانند داده‌های مالی، نظامی یا امنیتی استفاده می‌شوند. این جداسازی فیزیکی و عدم دسترسی به اینترنت باعث می‌شود که شبکه‌ها به‌طور کلی از حملات سایبری و دسترسی‌های غیرمجاز مصون بمانند.
این تکنیک حمله‌ی جدید که با نام RAMBO (مخفف Radiation of Air-gapped Memory Bus for Offense) معرفی شده، با استفاده از سیگنال‌های رادیویی تولید شده از طریق نرم‌افزار، می‌تواند داده‌های حساسی همچون فایل‌ها، تصاویر، اطلاعات بیومتریک و کلیدهای رمزنگاری را کدگذاری و ارسال کند.
این حمله از Software Defined Radio و یک آنتن معمولی استفاده می‌کند تا سیگنال‌های رادیویی خام را از فاصله‌ای معین دریافت کرده و سپس آن‌ها را رمزگشایی کرده و به اطلاعات باینری تبدیل کند. Software Defined Radio (رادیو تعریف شده توسط نرم‌افزار یا SDR) یک فناوری رادیویی است که در آن بخش عمده‌ای از پردازش سیگنال‌ها که معمولاً توسط سخت‌افزار انجام می‌شد، از طریق نرم‌افزار انجام می‌شود. در واقع SDR ترکیبی از سخت‌افزار و نرم‌افزار است. بخش سخت‌افزاری شامل گیرنده و فرستنده رادیویی و آنتن است که سیگنال‌های رادیویی را دریافت یا ارسال می‌کنند، اما پردازش این سیگنال‌ها و تفسیر داده‌ها از طریق نرم‌افزار انجام می‌شود. این روش انعطاف‌پذیری زیادی دارد و به کاربران اجازه‌ی تحلیل و کنترل امواج رادیویی را با استفاده از برنامه‌های مختلف می‌دهد.
مانند بسیاری از حملات مشابه، پیش‌نیاز حمله RAMBO نیز نفوذ اولیه به شبکه ایزوله است که می‌تواند از طریق روش‌هایی همچون استفاده از افراد نفوذی، حافظه‌های USB آلوده یا حملات به زنجیره تأمین صورت گیرد. این نفوذ اولیه امکان فعال‌سازی بدافزار و ایجاد کانال مخفی برای استخراج داده‌ها را فراهم می‌کند.
در حمله RAMBO، بدافزار با دستکاری حافظه RAM، سیگنال‌های رادیویی در فرکانس‌های زمانی تولید می‌کند. این سیگنال‌ها با استفاده از روش Manchester کدگذاری شده و از فاصله‌ای قابل توجه دریافت می‌شوند. تولید سیگنال‌های رادیویی در فرکانس‌های زمانی به این معناست که دستگاه (در اینجا حافظه RAM) سیگنال‌های الکترومغناطیسی با الگوهای مشخص و در بازه‌های زمانی خاص تولید می‌کند. به عبارت دیگر، با تغییرات در سرعت کارکرد پردازنده و حافظه رم، امواج الکترومغناطیسی تولید می‌شوند که می‌توانند به شکل یک سیگنال رادیویی برای ارسال اطلاعات به‌کار روند. این سیگنال‌ها حاوی داده‌هایی هستند که در حافظه دستگاه وجود دارند و می‌توان با تکنیک‌های کدگذاری آن‌ها را دریافت و تفسیر کرد.
اطلاعات کدگذاری‌شده می‌تواند شامل ضربات کلید، اسناد و داده‌های بیومتریک باشد. مهاجم از طریق SDR این سیگنال‌ها را دریافت کرده، آن‌ها را رمزگشایی و داده‌های استخراج‌شده را بازیابی می‌کند.
Rambo امکان استخراج داده‌ها از کامپیوترهای ایزوله مجهز به پردازنده‌های Intel i7 با سرعت 3.6 گیگاهرتز و 16 گیگابایت رم را با سرعت 1000 بیت بر ثانیه فراهم می‌کند. ضربات کلید نیز به‌صورت آنی با نرخ 16 بیت برای هر کلید قابل استخراج هستند.
در کمترین سرعت، اطلاعات با سرعت 1000 بیت بر ثانیه استخراج می‌شوند. برای مثال، یک کلید رمزنگاری RSA به طول 4096 بیت می‌تواند در مدت 41.96 ثانیه استخراج شود و با افزایش سرعت استخراج، کلید رمزنگاری می‌تواند در مدت زمان 4.096 ثانیه استخراج شود. همچنین، اطلاعات بیومتریک، تصاویر کوچک (مانند فایل‌های .jpg) و اسناد متنی کوچک (.txt و .docx) می‌توانند در زمان‌هایی از 400 ثانیه تا چند ثانیه (بسته به حجم و سرعت استخراج) منتقل شوند.
این یافته‌ها نشان می‌دهند که کانال مخفی RAMBO می‌تواند برای نشت اطلاعات کوتاه طی دوره‌های زمانی محدود مورد استفاده قرار گیرد.
محققان در سال‌های اخیر چندین سازوکار گوناگون برای استخراج اطلاعات محرمانه از شبکه‌های ایزوله توسعه داده‌اند. از جمله این روش‌ها می‌توان به بهره‌برداری از کابل‌های Serial ATA، ژیروسکوپ‌های MEMS، LEDهای کارت شبکه، و مصرف برق پویا اشاره کرد. دیگر رویکردهای غیرمتعارفی که معرفی شده‌اند، شامل استخراج داده‌ها از طریق امواج صوتی تولید شده توسط فن‌های کارت گرافیک، انتشار امواج فراصوت و صوت توسط بوق‌های داخلی مادربورد و همچنین نمایشگرها و LEDهای پرینتر می‌شوند.
سال گذشته نیز حمله‌ای به نام AirKeyLogger  معرفی شد که بدون نیاز به سخت‌افزار خاصی و با استفاده از امواج رادیویی تولید شده از منبع تغذیه رایانه، امکان ضبط لحظه‌ای ضربات کلید را به مهاجمان می‌داد.
در آن حمله، برای نشت داده‌های محرمانه، فرکانس‌های کاری پردازنده دستکاری می‌شدند تا الگوی انتشار امواج الکترومغناطیسی از منبع تغذیه به‌واسطه ضربات کلید ماژوله شده و از فاصله‌ای معین قابل دریافت باشد.

توصیه‌های امنیتی
از جمله اقدامات پیشگیرانه برای مقابله با این حمله می‌توان به استفاده از محدودیت‌های مناطق قرمز-سیاه برای انتقال اطلاعات (محدودیت‌هایی مربوط به تفکیک مناطق فیزیکی یا شبکه‌ای که در آن‌ها اطلاعات حساس (مناطق قرمز) از اطلاعات غیرحساس (مناطق سیاه) جدا نگه داشته می‌شوند)، بهره‌گیری از سیستم‌های تشخیص نفوذ، نظارت بر دسترسی‌های حافظه در سطح هایپروایزر، استفاده از مسدودکننده‌های رادیویی، و قرار دادن تجهیزات درون قفس فارادی (یک ساختار فلزی برای جلوگیری از ورود یا خروج امواج الکترومغناطیسی) اشاره کرد.

منبع خبر:


[1] https://thehackernews.com/2024/09/new-rambo-attack-uses-ram-radio-signals.html?m=1

کشف آسیب‌پذیری در SSLVPN SonicWall

تاریخ ایجاد

آسیب‌پذیری کشف شده در سرویس SSL-VPN SonicWall، یک نقص جدی از نوع اجرای کد از راه دور (RCE) است. این آسیب‌پذیری به مهاجمان امکان می‌دهد بدون نیاز به احراز هویت، کنترل کاملی بر سیستم آسیب‌دیده اعمال کنند. این نوع آسیب‌پذیری‌ها از خطرناک‌ترین تهدیدات سایبری محسوب می‌شوند، زیرا مهاجمان را قادر می‌سازند تا به صورت مستقیم به شبکه نفوذ کرده و به اطلاعات حساس دسترسی پیدا کنند.
برای بهره‌برداری از این آسیب‌پذیری، مهاجمان نیازی به داشتن اطلاعات حساب کاربری یا رمز عبور ندارند. تنها با ارسال یک درخواست HTTP یا HTTPS خاص می‌توانند به سیستم نفوذ کنند و اقدامات دلخواه را انجام دهند. این آسیب‌پذیری به مهاجمان امکان می‌دهد تا عملیات مخربی مانند سرقت داده‌ها، اختلال در خدمات، گروگان‌گیری داده‌ها (ransomware) را انجام داده و حتی کنترل کامل شبکه را به دست گیرند.
مهاجمان با بهره‌برداری از این آسیب‌پذیری، قادرند به شبکه‌های قربانیان نفوذ کرده و باج‌افزارهایی را مستقر کنند. این باج‌افزارها، سیستم‌ها و داده‌های حساس را رمزنگاری کرده و از قربانیان درخواست باج می‌کنند تا در ازای رمزگشایی اطلاعات، مبلغی را پرداخت کنند.

محصولات تحت‌تاثیر

  •  SonicWall Firewall Gen 5
  •  SonicWall Gen6 Firewalls
  • SonicWall Gen7 Firewalls


توصیه‌های امنیتی
شرکت SonicWall توصیه کرده که کاربران هرچه سریع‌تر دستگاه‌های خود را به آخرین نسخه‌های SonicOS به‌روزرسانی کنند.
تا زمانی که به‌روزرسانی‌ها نصب نشده‌اند، دسترسی WAN را به بخش مدیریت دستگاه‌های فایروال از منابع اینترنت قطع کنید.

منبع‌خبر:


https://www.bleepingcomputer.com/news/security/critical-sonicwall-sslvpn-bug-exploited-in-ransomwar…

کشف آسیب‌پذیری بحرانی در حافظه‌ی درایورهای پردازنده گرافیکی Arm

تاریخ ایجاد

یک آسیب‌پذیری استفاده پس از آزادسازی حافظه (Use After Free) با شناسه‌ی CVE-2024-3655، شدت بحرانی و امتیاز CVSS 9.8 در درایورهای پردازنده‌های گرافیکی Arm Ltd شامل Bifrost، Valhall و نسل پنجم معماری پردازنده گرافیکی، شناسایی شده ‌است که به کاربرانی با سطح دسترسی عادی امکان دسترسی به بخش‌هایی از حافظه را که قبلاً آزاد شده‌اند، می‌دهد.
آسیب‌پذیری استفاده پس از آزادسازی (Use After Free) زمانی رخ می‌دهد که یک بخش از حافظه پس از آزاد شدن، همچنان توسط برنامه استفاده شود. در درایورهای GPU نیز این مشکل ممکن است به دلیل سوءمدیریت حافظه به وجود بیاید.
در فرایند بهره‌برداری از آسیب‌پذیری استفاده پس از آزادسازی (Use After Free)، ابتدا بخشی از حافظه سیستم که برای انجام عملیات مشخصی مورد استفاده قرار گرفته بود، توسط درایور GPU آزاد می‌شود. این حافظه در شرایط عادی نباید مجدداً مورد استفاده قرار گیرد، اما به دلیل وجود نقص در مدیریت حافظه، امکان دسترسی مجدد به این بخش از حافظه فراهم می‌شود.
درایورهای GPU به صورت مستقیم با سخت‌افزار گرافیکی و مدیریت حافظه GPU سروکار دارند. در صورتی که حافظه GPU پس از آزاد شدن مجدداً و به اشتباه مورد استفاده قرار گیرد، مهاجم می‌تواند از این وضعیت بهره‌برداری کرده و به جای داده‌های معمول، کد مخربی در حافظه تزریق کند. این کد ممکن است توسط GPU یا CPU اجرا شود، که در نتیجه می‌تواند کنترل سیستم یا داده‌های حساس را در اختیار مهاجمان قرار دهد. خطر چنین سناریویی در صورتی که مهاجم به سیستم دسترسی محلی داشته‌ باشد و بتواند عملیات روی GPU را کنترل کند، افزایش می‌یابد.

محصولات تحت تاثیر
این آسیب‌پذیری در نسخه‌های r43p0 تا r49p0 از درایورهای کرنل پردازنده‌های گرافیکی Bifrost، Valhall و نسل پنجم معماری Arm وجود دارد.

توصیه‌های امنیتی
به‌روزرسانی هر چه سریع‌تر درایورهای پردازنده به نسخه‌های جدیدتر جهت جلوگیری از بهره‌برداری از این آسیب‌پذیری پیشنهاد می‌گردد.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-3655

کشف آسیب‌پذیری بحرانی پیمایش مسیردر نرم‌افزار DataDiodeX

تاریخ ایجاد

DataDiodeX محصولی ازDataFlowX Technology  است که برای ایجاد ارتباط یک‌طرفه و ایمن بین شبکه‌ها طراحی شده است. DataDiodeX به شبکه‌های حساس و حیاتی اجازه می‌دهد که داده‌ها را تنها در یک جهت از شبکه داخلی به خارجی انتقال دهند و از ورود هرگونه داده از خارج به داخل شبکه و نفوذهای سایبری جلوگیری می‌کند. اخیرا آسیب‌پذیری Path Traversal با شناسه CVE-2024-6445 وشدت ۱۰ در این نرم‌افزار شناسایی شده است که به مهاجم اجازه می‌دهد به دایرکتوری‌ها و فایل‌های سیستم خارج از محدوده‌ی مجاز نرم‌افزار دسترسی پیدا کند. این آسیب‌پذیری به دلیل عدم اعتبارسنجی صحیح ورودی‌هایی که مسیر فایل‌ها را تعریف می‌کنند، رخ می‌دهد. مهاجمان می‌توانند از این آسیب‌پذیری برای دسترسی غیرمجاز به فایل‌های حساس سیستم استفاده کنند و یا اطلاعات محرمانه‌ای را از سیستم استخراج کنند. اگر مهاجم به فایل‌هایی که شامل اسکریپت‌ها یا کدهای قابل اجرا هستند دسترسی پیدا کند، ممکن است بتواند کدهای‌مخرب را اجرا نموده و کنترل کامل سیستم را به دست‌گیرد.

محصولات تحت تاثیر
نسخه‌‌های قبل از 3.5.0 تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
فیلتر کردن ورودی‌ها: باید تمامی ورودی‌هایی که مسیر فایل را تعریف می‌کنند به درستی فیلتر و بررسی شوند تا کاراکترهای نامعتبر یا دستورات مربوط به تغییر مسیر مسدود شوند.
استفاده از توابع امن: برای دسترسی به فایل‌ها باید از توابعی استفاده شود که مسیرهای ورودی را بررسی کرده و فقط فایل‌هایی که در مسیرهای مجاز قرار دارند اجازه دسترسی داشته باشند.
محدود کردن دسترسی فایل‌ها: دسترسی به فایل‌های حساس باید محدود به کاربران یا برنامه‌هایی باشد که به آن‌ها نیاز دارند و سایر کاربران نباید به این فایل‌ها دسترسی داشته باشند.

منبع خبر:

https://www.cve.org/CVERecord?id=CVE-2024-6445

آسیب‌پذیری اجرای کد از راه دور در اکسس پوینت D-Link DAP-2310

تاریخ ایجاد

محققان یک آسیب‌پذیری به نام BouncyPufferfish در اکسس پوینت D-Link DAP-2310 کشف کرده‌اند که از نوع سرریز بافر مبتنی بر پشته می‌باشد. شناسه CVE-2024-45623 به این آسیب‌پذیری اختصاص یافته است. این آسیب‌پذیری در مولفه ATP وجود دارد که وظیفه آن رسیدگی به درخواست‌های HTTP به PHP برای وب‌سرور آپاچی (httpd) است. با ارسال یک درخواست HTTP GET توسط ابزاری مانند curl می‌توان از این آسیب‌پذیری سرریز بافر بهره‌برداری کرد که در نهایت منجر به صدا زدن تابع ()system و اجرای کد دلخواه خواهد شد. بهره‌برداری از این آسیب‌پذیری نیاز به تصدیق هویت ندارد.

محصولات تحت تاثیر
تمام دستگاه‌های D-Link DAP-2310 تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
به روزرسانی جدیدی برای دستگاه D-Link DAP-2310 منتشر نخواهد شد و این دستگاه منسوخ شده محسوب می‌شود. لذا توصیه می‌شود نسبت به تعویض اکسس پوینت خود با دستگاه جدید اقدام نمایید.

منبع خبر:


https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10406

کشف آسیب‌پذیری‌های بحرانی در افزونه‌های وردپرس

تاریخ ایجاد

به‌تازگی یک آسیب‌پذیری بحرانی با شناسه CVE-2024-7627 با شدت 8.1 در افزونه Bit File Manager وردپرس شناسایی شده است. این آسیب‌پذیری در برابر اجرای کد از راه دور از طریق عملکرد 'checkSyntax' آسیب‌پذیر است. به دلیل نوشتن یک فایل موقت در یک دایرکتوری در دسترس عموم، قبل از انجام اعتبارسنجی فایل این امکان را برای مهاجمان احراز هویت نشده فراهم می‌کند تا در صورتی که یک سرپرست به کاربر مهمان اجازه خواندن داده باشد، کد را روی سرور اجرا کنند.

WPCOM Member یکی از افزونه‌های وردپرس است که برای مدیریت اعضا و ثبت‌نام کاربران استفاده می‌شود. آسیب‌پذیری بحرانی با شناسه CVE-2024-7493 و شدت ۹.۸ در بخش ثبت‌نام این افزونه شناسایی شده است. بخش ثبت‌نام این افزونه به کاربران اجازه می‌دهد که از طریق فرم‌های ثبت‌نام، با وارد کردن نام کاربری، ایمیل، رمزعبور و سایر جزئیات در سایت عضو شوند. این آسیب‌پذیری‌ ناشی از ارسال داده‌های دلخواه توسط مهاجم در زمان ثبت‌نام به تابع  wp_insert_user()است. در وردپرس، این تابع به صورت امن برای ثبت‌نام و بروزرسانی کاربران استفاده می‌شود، اما در این افزونه، امکان ارسال داده‌های نادرست و بدون فیلتر نیز به این تابع وجود دارد. در نتیجه مهاجم در زمان ثبت‌نام می‌تواند بدون احراز هویت اطلاعات نقش کاربری را دستکاری نموده و نقش‌ خود را از یک کاربر عادی به مدیر ارتقاء دهد و کنترل کامل وب‌سایت را در دست گیرد.
 

یک آسیب‌پذیری با شناسه CVE-2024-159 و شدت 7.2 (بالا) در افزونه Ninja Forms - File Uploads کشف شده است که یک نقص Stored Cross-Site Scripting از طریق آپلود یک فایل مخرب است که به دلیل عدم پاکسازی مناسب ورودی و خروجی رخ می‌دهد. نقص امنیتی مذکور، این امکان را برای مهاجمان احراز هویت نشده فراهم می‌کند تا اسکریپت‌های دلخواه را در صفحات وب تزریق کرده که هر زمان کاربر به صفحه، دسترسی پیدا کند، اجرا می‌شود .بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و چندان به شرایط خاصی نیاز نیست (AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C)، یک ضلع از سه ضلع امنیت با شدت کمی تحت تأثیر قرار می‌گیرند (C:L/I:L/A:N).

محصولات تحت‌تأثیر
 شناسه CVE-2024-7627: نسخه‌های 6.0 تا 6.5.5

شناسه CVE-2024-7493: نسخه‌ی 1.5.2.1 و تمام نسخه‌‌های قبل از آن تحت تاثیر این آسیب‌پذیری قرار دارند.

شناسه CVE-2024-159:نسخه 3.3.16 و نسخه‌های قبل‌ از آن تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.

توصیه‌های امنیتی
شناسه CVE-2024-7627: با به‌روزرسانی به نسخه 6.5.6 و نسخه‌های بالاتر این آسیب‌پذیری رفع می‌شود.

شناسه CVE-2024-7493: به کاربران توصیه می‌شود افزونه را به آخرین نسخه به‌روزرسانی کنند.

شناسه CVE-2024-159:به کاربران توصیه می‌شود که نسخه‌های آسیب‌پذیر را به نسخه 3.3.18 ارتقاء دهند.

منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-7627

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-7493

[3]https://nvd.nist.gov/vuln/detail/CVE-2024-1596
[4]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ninja-forms-uploads/ninja-…

کشف آسیب‌پذیری بحرانی در افزونه‌ی WPML وردپرس

تاریخ ایجاد

یک آسیب‌پذیری بحرانی در افزونه چندزبانه WPML وردپرس کشف شده است که می‌تواند در شرایط خاصی به کاربران احراز هویت‌شده، امکان اجرای کد دلخواه از راه دور را بدهد. افزونه WPML یکی از محبوب‌ترین افزونه‌ها برای ایجاد سایت‌های چندزبانه وردپرس است و بیش از یک میلیون نصب فعال دارد.
این نقص امنیتی  که با شناسه CVE-2024-6386 و شدت CVSS 9.9 شناخته شده، به دلیل اعتبارسنجی نامناسب ورودی‌ها رخ داده است و به مهاجمان با سطح دسترسی Contributor و بالاتر این امکان را می‌دهد تا کد دلخواه خود را بر روی سرور اجرا کنند.
بنا به گزارش محققان امنیتی، این نقص به دلیل نحوه مدیریت ShortCodeها توسط افزونه ایجاد می‌شود. Shortcodeها در وردپرس قطعه کدهایی هستند که به کاربران اجازه می‌دهند به سادگی محتوای پویا مانند تصاویر، ویدیوها یا فرم‌ها را در صفحات و پست‌های خود قرار دهند. این کدها به طور معمول به وسیله قالب‌ها یا توابع وردپرس پردازش می‌شوند تا محتوای نهایی را نمایش دهند.
در افزونه WPML، Shortcodeها با استفاده از الگوهای Twig پردازش می‌شوند. Twig یک سیستم قالب‌بندی (template engine) است که امکان استفاده از دستورات و منطق‌های برنامه‌نویسی را درون الگوها (templates) فراهم می‌کند. اگر ورودی کاربر به درستی بررسی و فیلتر  نشود، یک مهاجم می‌تواند از این نقطه ضعف استفاده کند تا کد مخربی را در قالب یک Shortcode وارد کند.
این حمله به نام Server-Side Template Injection (SSTI) شناخته می‌شود. در این حمله، مهاجم از قابلیت‌های سیستم قالب‌بندی بهره‌برداری می‌کند تا کد دلخواه خود را به جای محتوای واقعی اجرا کند. به عبارت دیگر، به جای اینکه یک Shortcode ساده در صفحه، نمایش داده شود، کدی که مهاجم در آن قرار داده اجرا می‌شود. این کد می‌تواند دستورات مخربی باشد که در نهایت به اجرای کدهای دلخواه روی سرور منجر می‌شود، که می‌تواند به سرقت اطلاعات یا به دست گرفتن کنترل سایت منجر شود.
به گفته‌ی توسعه‌دهندگان افزونه، احتمال وقوع این نقص امنیتی در سناریوهای حمله‌ی واقعی کم است و برای انجام این حمله، کاربر باید مجوزهای ویرایش را در وردپرس داشته باشد و همچنین سایت باید دارای تنظیمات خاصی باشد.

محصولات تحت تاثیر
این آسیب‌پذیری تمامی نسخه‌های قبل از 4.6.13 این افزونه را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران افزونه WPML توصیه می‌شوند که آخرین به‌روزرسانی‌ها و وصله‌ها را برای کاهش تهدیدات احتمالی اعمال کنند.
 

منبع خبر:


https://thehackernews.com/2024/08/critical-wpml-plugin-flaw-exposes.html?m=1

کشف بدافزار HZ Rat backdoor در MacOS

تاریخ ایجاد

به تازگی محققان امنیتی آکادمی Kaspersky نسخه‌‌‌‌‌‌‌‌‌‌ای تازه از بدافزار HZ Rat backdoor کشف کرده‌‌‌‌‌‌‌‌‌‌اند که کاربران پیام‌‌‌‌‌‌‌‌‌‌رسان‌‌‌‌‌‌‌‌‌‌های DingTalk و WeChat در سیستم‌‌‌‌‌‌‌‌‌‌عامل macOS را هدف قرار می‌‌‌‌‌‌‌‌‌‌دهد و اقدام به جاسوسی از ایشان می‌‌‌‌‌‌‌‌‌‌کند. ساز و کار این نمونه جدید بسیار مشابه نسخه Windows این بدافزار می‌‌‌‌‌‌‌‌‌‌باشد که به وسیله کدهای مخرب PowerShell سیستم قربانی را آلوده می‌‌‌‌‌‌‌‌‌‌کرد. دو روش برای راه یافتن بدافزار به سیستم کاربر وجود دارد. در روش نخست کد مخرب به صورت مستقیم از سرور مهاجم دریافت می‌شود. لازم به ذکر است که برخی نسخه‌‌‌‌‌‌‌‌‌‌های این backdoor از آدرس‌‌‌‌‌‌‌‌‌‌های IP محلی برای برقراری ارتباط با یک سرور فرمان و کنترل (C2) استفاده می‌‌‌‌‌‌‌‌‌‌کردند. این امر می‌‌‌‌‌‌‌‌‌‌تواند نشان‌‌‌‌‌‌‌‌‌‌دهنده هدفمند بودن حمله و قصد مهاجمین برای بهره‌‌‌‌‌‌‌‌‌‌برداری از backdoor  به منظور حرکت جانبی روی شبکه قربانی باشد. در روش دوم بدافزار خود را به عنوان یک نصب‌‌‌‌‌‌‌‌‌‌کننده نرم‌‌‌‌‌‌‌‌‌‌افزاری دیگر همانند OpenVPN، PuTTYgen یا EasyConnect جا می‌‌‌‌‌‌‌‌‌‌زند. هنوز نقطه توزیع اصلی بدافزار یافت نشده است ولی یک بسته نصبی برای یکی از نمونه‌‌‌‌‌‌‌‌‌‌های آن به نام OpenVPNConnect.pkg در دسترس عموم قرار گرفته است. این نمونه توسط هیچ یک از ابزارهای مطرح، مخرب شناسایی نشده است و همانند یک نصب‌‌‌‌‌‌‌‌‌‌کننده نرم‌‌‌‌‌‌‌‌‌‌افزار عمل می‌‌‌‌‌‌‌‌‌‌کند با این تفاوت که در زیرشاخه MacOS و در کنار نرم‌‌‌‌‌‌‌‌‌‌افزار اصلی، دو فایل exe و init نیز وجود دارند.
با اجرای نرم‌‌‌‌‌‌‌‌‌‌افزار بر روی سیستم قربانی، ابتدا، فایل exe اجرا می‌‌‌‌‌‌‌‌‌‌شود. فایل exe حاوی کدهایی است که نخست فایل init و سپس نرم‌‌‌‌‌‌‌‌‌‌افزار OpenVPN را اجرا می‌‌‌‌‌‌‌‌‌‌کند. این ترتیب اجرا در فایل Info.plist مشخص شده است.
در واقع، فایل init همان backdoor می‌‌‌‌‌‌‌‌‌‌باشد که به زبان C++ نوشته شده است. پس از اجرا شدن، فایل init، با IPهای مشخص‌‌‌‌‌‌‌‌‌‌شده در خود backdoor اتصالی به سرور C2 برقرار می‌‌‌‌‌‌‌‌‌‌کند. در بسیاری از موارد پورت 8081 برای اتصال مورد استفاده قرار گرفته است. همچنین برخی نمونه‌‌‌‌‌‌‌‌‌‌ها از آدرس‌‌‌‌‌‌‌‌‌‌های IP خصوصی برای برقراری این اتصال بهره می‌‌‌‌‌‌‌‌‌‌بردند. این نمونه‌‌‌‌‌‌‌‌‌‌ها، به احتمال بالا، به منظور کنترل دستگاه قربانی با استفاده از رایانه‌‌‌‌‌‌‌‌‌‌ای از پیش آلوده‌‌‌‌‌‌‌‌‌‌شده در شبکه محلی ایشان به عنوان سرور پروکسی برای راهنمایی اتصال به سوی سرور C2 به کار برده می-شده‌‌‌‌‌‌‌‌‌‌اند. این امر به منظور پنهان کردن بدافزار در شبکه صورت می‌‌‌‌‌‌‌‌‌‌گیرد زیرا تنها دستگاه دارای پروکسی با سرور C2 ارتباط برقرار می‌‌‌‌‌‌‌‌‌‌کند.
تمامی ارتباطات با سرور C2 با استفاده از XOR و کلید 0X42 رمزگذاری شده‌‌‌‌‌‌‌‌‌‌اند. برای آغاز session، backdoor یک عدد تصادفی با برچسب cookie را به سرور ارسال می‌‌‌‌‌‌‌‌‌‌کند. تمامی پیام‌‌‌‌‌‌‌‌‌‌های ارسال‌‌‌‌‌‌‌‌‌‌شده به سرور ساختار زیر را دارند.
•    کد پیام – 1 بایت
•    طول پیام – 4 بایت
•    متن پیام که 4 بایت نخست آن اندازه داده را مشخص می‌‌‌‌‌‌‌‌‌‌کند.
backdoor تنها چهار دستور ساده را پشتیبانی می‌‌‌‌‌‌‌‌‌‌کند که در جدول زیر آورده شده‌‌‌‌‌‌‌‌‌‌اند.

Capture_4


از این دستورات، تنها دو دستور execute_cmdline و ping در نمونه بررسی‌‌‌‌‌‌‌‌‌‌شده به کار برده شده بودند. پس از بررسی‌‌‌‌‌‌‌‌‌‌های بیش‌‌‌‌‌‌‌‌‌‌تر، دستورات اجرایی از سرور C2 به دست آمده که اطلاعات زیر را از سیستم قربانی استخراج می‌‌‌‌‌‌‌‌‌‌کنند.
•    وضعیت System Integrity Protection
•    اطلاعات سیستم و دستگاه، از جمله
   •    آدرس IP محلی
   •    اطلاعات دستگاه های بلوتوثی
   •    اطلاعات شبکه های Wi-Fi در دسترس، آداپتورهای شبکه بی‌‌‌‌‌‌‌‌‌‌سیم موجود و شبکه‌‌‌‌‌‌‌‌‌‌ای که دستگاه به آن متصل است
   •    مشخصات سخت‌‌‌‌‌‌‌‌‌‌افزاری
   •    اطلاعات مربوط به ذخیره‌‌‌‌‌‌‌‌‌‌سازی داده‌‌‌‌‌‌‌‌‌‌ها
•    لیست برنامه‌‌‌‌‌‌‌‌‌‌ها
•    اطلاعات کاربر در WeChat
•    اطلاعات کاربر و سازمان از DingTalk
•    کاربری و وب‌سایت به صورت مقادیر جفتی از Google Password Manager

بدافزار تلاش می‌‌‌‌‌‌‌‌‌‌کند شناسه WeChat (WeChatID)، آدرس ایمیل و شماره تلفن کاربر را از WeChat استخراج کند. این داده‌‌‌‌‌‌‌‌‌‌ها به صورت متن ساده (plain text) در فایل userinfo.data ذخیره می‌‌‌‌‌‌‌‌‌‌شوند.
مهاجمین به اطلاعات دقیق‌‌‌‌‌‌‌‌‌‌تری از برنامه DingTalk علاقه‌‌‌‌‌‌‌‌‌‌منداند. این اطلاعات عبارت‌‌‌‌‌‌‌‌‌‌اند از:
•    نام سازمان و بخشی که کاربر در آن کار می‌‌‌‌‌‌‌‌‌‌کند
•    نام کاربری
•    آدرس ایمیل شرکت
•    شماره تلفن
کد مخرب تلاش می‌‌‌‌‌‌‌‌‌‌کند این اطلاعات را  از فایل orgEmployeeModel دریافت کند. اگر این فایل یافت نشود، بدافزار در فایل sAlimailLoginEmail به دنبال شماره تلفن و آدرس ایمیل کاربر می‌‌‌‌‌‌‌‌‌‌گردد. اگر این اقدام نیز شکست بخورد، تلاش می‌‌‌‌‌‌‌‌‌‌کند آدرس ایمیل کاربر را در یکی از فایل‌‌‌‌‌‌‌‌‌‌های کش DingTalk به نام <date>.holmes.mappings بیابد. این اطلاعات نیز به صورت متن ساده نگه‌‌‌‌‌‌‌‌‌‌داری می‌‌‌‌‌‌‌‌‌‌شوند.
در زمان تحلیل، 4 سرور کنترل فعال بوده و دستورات مخرب باز می‌‌‌‌‌‌‌‌‌‌گرداند. برخی از آدرس‌‌‌‌‌‌‌‌‌‌های IP شناسایی‌‌‌‌‌‌‌‌‌‌شده پیش‌‌‌‌‌‌‌‌‌‌تر در حملات به دستگاه‌‌‌‌‌‌‌‌‌‌های Windows دیده شده بودند. به جز تنها دو سرور که در ایالت متحده آمریکا و هلند قرار داشتند، تمامی سرورهای C2 در چین یافت شدند. با توجه به اطلاعات به دست آمده از سایت VirusTotal بسته نصبی مخرب قبلا از دامنه زیر که متعلق به شرکت بازی‌‌‌‌‌‌‌‌‌‌سازی MiHoYo می‌‌‌‌‌‌‌‌‌‌باشد بارگیری شده است.
hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip.
چگونگی راهیابی این فایل به دامنه بالا هنوز به طور قطع مشخص نشده است و احتمال دارد این کمپانی قبلا هک شده باشد.
در ادامه انواع نشانگرهای نفوذ آورده شده‌‌‌‌‌‌‌‌‌‌اند.



backdoor MD5 file hashes
0c3201d0743c63075b18023bb8071e73 – Mach-O 64-bit x86_64 executable
6cc838049ece4fcb36386b7a3032171f – Mach-O 64-bit x86_64 executable
6d478c7f94d95981eb4b6508844050a6 – Mach-O 64-bit x86_64 executable
7a66cd84e2d007664a66679e86832202 – Mach-O 64-bit x86_64 executable
7ed3fc831922733d70fb08da7a244224 – Mach-O 64-bit x86_64 executable
9cdb61a758afd9a893add4cef5608914 – Mach-O 64-bit x86_64 executable
287ccbf005667b263e0e8a1ccfb8daec – Mach-O 64-bit x86_64 executable
7005c9c6e2502992017f1ffc8ef8a9b9 – Mach-O 64-bit x86_64 executable
7355e0790c111a59af377babedee9018 – Mach-O 64-bit x86_64 executable
a5af0471e31e5b11fd4d3671501dfc32 – Mach-O 64-bit x86_64 executable
da07b0608195a2d5481ad6de3cc6f195 – Mach-O 64-bit x86_64 executable
dd71b279a0bf618bbe9bb5d934ce9caa – Mach-O 64-bit x86_64 executable
 

C2 IP addresses
111.21.246[.]147
123.232.31[.]206
120.53.133[.]226
218.193.83[.]70
29.40.48[.]21
47.100.65[.]182
58.49.21[.]113
113.125.92[.]32
218.65.110[.]180
20.60.250[.]230



محصولات تحت‌تأثیر
تمامی نسخه‌‌‌‌‌‌‌‌‌‌های سیستم‌‌‌‌‌‌‌‌‌‌عامل macOS در مقابل این بدافزار آسیب‌‌‌‌‌‌‌‌‌‌پذیر هستند.

توصیه‌های امنیتی
اطمینان حاصل کنید که macOS و تمامی اپلیکیشن‌های نصب‌شده به‌روز باشند تا آسیب‌پذیری‌های شناخته‌شده برطرف شوند و به کاربران توصیه می‌‌‌‌‌‌‌‌‌‌شود از برنامه‌‌‌‌‌‌‌‌‌‌های WeChat و DingTalk اجتناب کنند.

منبع خبر:


https://securelist.com/hz-rat-attacks-wechat-and-dingtalk/113513