کشف آسیب‌پذیری تزریق اشیاء در افزونه Events Calendar Pro وردپرس

تاریخ ایجاد

The Events Calendar Pro یکی از افزونه‌های سیستم مدیریت محتوای وردپرس است که برای ایجاد، سازماندهی، نمایش تقویم و رویدادها استفاده می‌شود. نسخه‌ی ۷.۰.۲ این افزونه و تمام نسخه‌های قبل از آن به دلیل عدم اعتبارسنجی صحیح داده‌های ورودی کاربر دارای آسیب‌پذیری تزریق شیء php با شناسه CVE-2024-8016 و شدت ۹.۱ هستند.
این آسیب‌پذیری زمانی رخ می‌دهد که مهاجم احرازهویت شده با سطح دسترسی مدیر یا بالاتر یک شیء PHP را به عنوان ورودی توسط پارامتر filters به تابع ()unserialize در PHP ارسال کند. وجود یک زنجیره POP امکان اجرای کد از راه دور را برای مهاجم فراهم می‌کند. هر‌گاه این افزونه به همراه افزونه Elementor نصب گردد کاربران با سطح دسترسی contributor و بالاتر نیز می‌توانند از این آسیب‌پذیری بهره‌برداری کنند.

محصولات تحت تاثیر
نسخه‌ی ۷.۰.۲ و تمام نسخه‌‌های قبل از آن

توصیه‌های امنیتی
به کاربران توصیه می‌شود افزونه را به نسخه7.0.2.1  به‌روزرسانی کنند.

منبع خبر:

https://www.cve.org/CVERecord?id=CVE-2024-8016

حمله D(HE)at (نقص 20 ساله در پروتکل دیفی هلمن؛ گرمای بیش از حد CPU )

تاریخ ایجاد

محققان نوع جدیدی از حمله انکار سرویس (DoS) را کشف کرده‌‏اند که به عنوان حمله D(HE)at شناخته می شود. این حمله از نیازهای محاسباتی پروتکل توافق کلید دیفی هلمن، به ویژه نوع زودگذر آن (DHE) با کمترین تلاش مهاجم برای غلبه بر سرورها بهره‌برداری می‏کند.
پروتکل توافق کلید دیفی هلمن در یک کانال ناامن میان دو یا بیش‌‌‌‌‌‌‌‌‌تر موجودیت به منظور توافق طرفین برای رسیدن به یک کلید مشترک صورت می‌‌‌‌‌‌‌‌‌گیرد. موجودیت‌‌‌‌‌‌‌‌‌ها بعد از ساخت این کلید مشترک، از آن برای رمزگذاری و رمزگشایی پیام‌‌‌‌‌‌‌‌‌های مبادله شده خود استفاده می‌‌‌‌‌‌‌‌‌کنند.
این حمله به دلیل توانایی آن در گرم کردن بیش از حد CPU با وادار کردن قربانی به انجام محاسبات سنگین توان ماژولار است که در مبادله کلید Diffie-Hellman در پروتکل‌های رمزنگاری مانند  TLS، SSH، IPsec  و OpenVPN  استفاده می‌شود.

در شرایط عادی، موجودیت‌‌‌‌‌‌‌‌‌های پروتکل توافق کلید دیفی هلمن عملیات محاسباتی مشابهی انجام می‌‌‌‌‌‌‌‌‌دهند.

شکل1: پروتکل توافق کلید دیفی-هلمن


طبق شکل 1، موجودیت‌‌‌‌‌‌‌‌‌های آلیس و باب هرکدام دو عملیات توان‌‌‌‌‌‌‌‌‌رسانی انجام می‌‌‌‌‌‌‌‌‌دهند. حمله D (HE)at زمانی رخ می‌‌‌‌‌‌‌‌‌دهد که موجودیتِ شروع کننده پروتکل (در این‌‌‌‌‌‌‌‌‌جا باب)، به جای محاسبه مقدار A، یک مقدار تصادفی برای آلیس ارسال کند. در این صورت باب(بدخواه) هیچ عملیات محاسباتی انجام نخواهد داد اما آلیس(قربانی) دو بار عملیات توان‌‌‌‌‌‌‌‌‌رسانی انجام می‌‌‌‌‌‌‌‌‌دهد. با تکرار این کار، آلیس بار محاسباتی زیادی متحمل خواهد شد.

شکل2: نمونه حمله D (HE)at در پروتکل TLS1.3 یا SSH


طبق شکل 2، کلاینت مخرب هیچ محاسبه‌‌‌‌‌‌‌‌‌ای انجام نمی‌‌‌‌‌‌‌‌‌دهد اما سرور قربانی دو عملیات توان‌‌‌‌‌‌‌‌‌رسانی انجام می‌‌‌‌‌‌‌‌‌دهد.
برخی موارد این حمله را تشدید می‌‌‌‌‌‌‌‌‌کند که در ادامه به آن اشاره شده است:
•    طول توان: هرچه مقدار عددی که در توان قرار می‌‌‌‌‌‌‌‌‌گیرد بزرگ‌‌‌‌‌‌‌‌‌تر باشد مسلما توان محاسباتی بیش‏تری لازم است. برخی کتابخانه‌‌‌‌‌‌‌‌‌های رمزنگاری از نماهای طولانی استفاده می‌‌‌‌‌‌‌‌‌کنند که منجر به بار محاسباتی بیش‌‌‌‌‌‌‌‌‌تر می‌‌‌‌‌‌‌‌‌شود. (CVE-2022-40735)
•    اعتبارسنجی کلیدعمومی: برای جلوگیری از حملات محدود کردن زیرگروه کوچک، سرورها باید مرتبه کلید عمومی را تایید کنند. با این حال برخی کتابخانه‌‌‌‌‌‌‌‌‌ها این اعتبار سنجی را بدون توجه به استفاده از یک گروه اول امن انجام می‌‌‌‌‌‌‌‌‌دهند. (CVE-2024-41996)
•    اندازه پارامترها: برخی از کتابخانه‌‌‌‌‌‌‌‌‌ها مانند OpenSSL به طور پیش‌‌‌‌‌‌‌‌‌فرض بزرگترین اندازه پارامتر موجود را دارند که اگر به درستی توسط سرورهای برنامه پیکربندی نشوند، می‌‌‌‌‌‌‌‌‌تواند مورد بهره‌برداری قرار بگیرد.
روش مقابله با حمله D(HE)at
•    به‌‌‌‌‌‌‌‌‌روزسانی پروتکل‌‌‌‌‌‌‌‌‌ها: برای مثال استفاده از پروتکل جدید TLS 1.3
•    پیکربندی کتابخانه‌‌‌‌‌‌‌‌‌ها: تنظیمات کتابخانه‌‌‌‌‌‌‌‌‌ها برای استفاده از نماهای کوچک‌‌‌‌‌‌‌‌‌تر و اندازه پارامترهای کوتاه‌‌‌‌‌‌‌‌‌تر
•    پیاده‌‌‌‌‌‌‌‌‌سازی محدودیت نرخ: محدودیت نرخ بر روی تعداد درخواست Handshake به سرور از طرف یک کلاینت مشخص
•    مانیتورینگ و هشداردهی: راه‌‌‌‌‌‌‌‌‌اندازی سیستم‌‌‌‌‌‌‌‌‌های مانیتورینگ برای تشخیص الگوهای ناهنجار مربوط به درخواست‌‌‌‌‌‌‌‌‌های Handshake که منجر به حمله خواهند شد.

منبع خبر:


https://cybersecuritynews.com/dheat-attack

آسیب‌پذیری XSS در ConnX ESP HR Management

تاریخ ایجاد

یک آسیب‌پذیری به شماره شناسه CVE-2024-7269 و شدت ۸.۷ که یک نقص از نوع XSS ذخیره‌شده است، در فرم «به‌روزرسانی جزئیات شخصی» نرم‌افزار ConnX ESP HR Management کشف شده است. این نقص که به دلیل پاکسازی نادرست ورودی‌ها در زمان تولید صفحات وب رخ می‌دهد،  به مهاجمان اجازه می‌دهد تا کدهای مخرب جاوااسکریپت را در فرم‌های ورودی تزریق کرده و آن‌ها را در مرورگر کاربران اجرا کنند. این امر می‌تواند به سرقت اطلاعات حساس، اجرای عملیات غیرمجاز، یا تغییر نمایش صفحات وب منجر شود.

محصولات تحت‌تأثیر
این آسیب‌پذیری در نسخه‌های قبل از ۶.۶ نرم‌افزار ConnX ESP HR Management شناسایی شده است.

توصیه‌های امنیتی
به‌روزرسانی به نسخه ۶.۶ موجب رفع این آسیب‌پذیری می‌شود.


منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-7269

آسیب‌پذیری‌های حیاتی در افزونه‌های فروشگاهی وردپرس

تاریخ ایجاد

یک آسیب‌پذیری به شماره شناسه CVE-2024-8030 و شدت ۹.۸ که یک نقص بحرانی در افزونه‌های Ultimate Store Kit Elementor Addons، Woocommerce Builder، EDD Builder، Elementor Store Builder، Product Grid، Product Table و Woocommerce Slider کشف شده است. این آسیب‌پذیری به مهاجمان غیرمجاز امکان تزریق اشیاء PHP از طریق deserialization ورودی‌های نامعتبر از طریق کوکی _ultimate_store_kit_wishlist را می‌دهد. نبود زنجیره POP در خود افزونه به این معنی است که آسیب‌پذیری با توجه به حضور افزونه‌ها یا تم‌های اضافی در سیستم هدف، قابل بهره‌برداری است. در صورت وجود زنجیره POP، مهاجم می‌تواند فایل‌های دلخواه را حذف کند، به داده‌های حساس دسترسی پیدا کند، یا کد دلخواه را اجرا کند.

محصولات تحت‌تأثیر
این آسیب‌پذیری تمام محصولات زیر را تا نسخه‌های 2.0.3 تحت‌تاثیر قرار می‌دهد:
    •    Ultimate Store Kit Elementor Addons
    •    Woocommerce Builder
    •    EDD Builder
    •    Elementor Store Builder
    •    Product Grid
    •    Product Table
    •    Woocommerce Slider
 

توصیه‌های امنیتی
مطمئن شوید که افزونه‌های تحت تأثیر را به نسخه‌هایی بالاتر از 2.0.3 که این آسیب‌پذیری در آن‌ها رفع شده است، به‌روزرسانی کرده‌اید.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-8030

کشف آسیب‌پذیری در Tenda G3

تاریخ ایجاد

به‌تازگی یک آسیب‌پذیری به شماره شناسه CVE-2024-8225 و شدت ۸.۹ در نسخه 15.11.0.20 از دستگاه Tenda G3 شناسایی شده است. این آسیب‌پذیری در تابع formSetSysTime فایل /goform/SetSysTimeCfg رخ می‌دهد و به دلیل یک سرریز بافر مبتنی بر پشته به وجود می‌آید که می‌تواند از طریق دستکاری آرگومان sysTimePolicy فعال شود. این نقص امنیتی به مهاجمان اجازه می‌دهد تا از راه دور کد دلخواه را روی سیستم آسیب‌دیده اجرا کنند که می‌تواند منجر به کنترل کامل دستگاه شود.

محصولات تحت‌تأثیر
این آسیب‌پذیری به طور خاص مدل Tenda G3 با نسخه 15.11.0.20 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
تاکنون راهکاری برای رفع این آسیب‌پذیری ارائه نشده است اما پیشنهاد می‌شود که اقدامات زیر انجام گیرد:
•    دسترسی به پورت‌ها و سرویس‌های غیرضروری را محدود کنید. اطمینان حاصل کنید که تنها ترافیک مورد نیاز به دستگاه‌ها اجازه دسترسی دارد.
•    دسترسی از راه دور به رابط‌های مدیریتی دستگاه‌ها را محدود کرده و از مکانیزم‌های احراز هویت قوی استفاده کنید. 

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-8225

کشف آسیب‌پذیری در اپلیکیشن XiaomiGetApps

تاریخ ایجاد

یک آسیب‌پذیری به شماره شناسه CVE-2024-45346 و شدت ۸.۸ که یک ضعف امنیتی در اپلیکیشن XiaomiGetApps است کشف شده است. این آسیب‌پذیری به دلیل نقص در منطق تایید اعتبار رخ می‌دهد. منطق تایید اعتبار، که معمولاً برای اطمینان از دسترسی معتبر کاربران به منابع محافظت‌شده استفاده می‌شود، در این مورد به گونه‌ای طراحی شده است که مهاجمان می‌توانند آن را دور بزنند. به عبارت دیگر، مهاجم بدون اینکه نیاز به احراز هویت یا ورود به سیستم داشته باشد می‌تواند با بهره‌برداری از این آسیب‌پذیری کد مخرب را از راه دور اجرا کند.

محصولات تحت‌تأثیر
این آسیب‌پذیری در نسخه 30.2.7.0 وجود دارد.

توصیه‌های امنیتی
بروزرسانی به نسخه 30.6.0.2 موجب رفع آسیب‌پذیری فوق می‌شود.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-45346

سوء استفاده بدافزار لینوکسی Sedexp از قوانین udev در جهت ناشناخته ماندن

تاریخ ایجاد

اخیرا یک بدافزار لینوکسی به نام 'sedexp' شناسایی شده است که از سال ۲۰۲۲ به صورت مخفیانه با استفاده از تکنیک جدیدی که هنوز در چارچوب MITRE ATT&CK قرار نگرفته از شناسایی فرار می‌کند. این بدافزار به مهاجمان اجازه می‌دهد تا از راه دور به سیستم قربانی دسترسی پیدا کنند و هدف اصلی آن جمع‏آوری اطلاعات کارت‏های اعتباری است. محققان اشاره می‌کنند که این بدافزار از سال ۲۰۲۲ به‌طور فعال مورد استفاده قرار گرفته است. پیش از این، تنها دو موتور آنتی-ویروس توانسته بودند سه نمونه sedexp را به عنوان فایل مخرب شناسایی کنند.
بدافزار با نام kdevtmpfs در سیستم اجرا می‎‏شود که مشابه نام یک فرایند سیستمی معتبر است. به این ترتیب شناسایی آن با استفاده از روش‌های متداول را دشوارتر می‌سازد. تکنیک استفاده شده در این بدافزار برای کسب ماندگاری در سیستم استفاده از قوانین udev است.
Udev یک مدیر دستگاه‌های جانبی برای کرنل لینوکس است. در فـایـل سیـستم لـیـنوکس، شـاخـه‌ای بـه نام /dev وجود دارد که در آن تمامی ابزارهای سخت‏افزاری سیستم لیست شده‌اند. برای مثال پارتیشن‌های دیسک سـخـت یــا درایـوهای CD-ROM با نشانی dev/hdX/ در این شاخه وجود دارند. قوانین udev، فایل‌های پیکربندی متنی هستند که تعیین می‌کنند مدیر چگونه باید با دستگاه‌ها یا رویدادهای خاص برخورد کند. این فایل‌ها در مسیر '/etc/udev/rules.d/' یا '/lib/udev/rules.d/' قرار دارند. این قوانین شامل سه پارامتر هستند:
•    عملیات مورد نظر ("ACTION== "add)
•    نام دستگاه ("KERNEL== "sdb1)
•    و اینکه چه اسکریپتی باید هنگام برآورده شدن شرایط مشخص اجرا شود ("RUN+="/path/to/script).
 

بدافزار sedexp قانون udev زیر را بر روی سیستم‌های قربانی اضافه می‌کند:
ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"
هرگاه دستگاه جدیدی به سیستم اضافه شود این قانون فعال می‌شود و شرایط زیر را بررسی می‏کند:  
•    آیا مقدار ENV{MAJOR}، 1 است (این حالت مربوط به دستگاه‏هایی مانند /dev/mem, /dev/null, و  /dev/zero است.)
•    سپس بررسی می‏کند آیا مقدار ENV{MINOR} عدد 8 است (این حالت مربوط به /dev/random است.)

در صورتی که این شرایط برقرار بود اسکریپت بدافزار asedexpb را اجرا می‌کند. این قانون تضمین می‏کند هرگاه dev/random/ در سیستم اجرا شود بدافزار اجرا می‏شود. dev/random/ یک جزء اساسی سیستم در لینوکس است و بسیاری از پردازه‏ها و برنامه‏ها برای اجرای عملیات رمزنگاری، ارتباطات امن و تولید اعداد تصادفی از آن استفاده می‏کنند. این فایل در هر مرتبه ریبوت سیستم عامل بارگذاری می‏شود و بنابراین ماندگاری بدافزار در سیستم را تضمین می‏کند.  
علاوه بر این، بدافزار قابلیت دستکاری در حافظه را دارد تا فایل‏هایی که sedexp دارند را از نتیجه فرمان‏های ls و find حذف کند و به این ترتیب فرایند شناسایی را دشوارتر کند.
اطلاعات سه نمونه از این بدافزار که تاکنون شناسایی شده به شرح زیر است:

SHA256    43f72f4cdab8ed40b2f913be4a55b17e7fd8a7946a636adb4452f685c1ffea02
SHA256    94ef35124a5ce923818d01b2d47b872abd5840c4f4f2178f50f918855e0e5ca2
SHA256    b981948d51e344972d920722385f2370caf1e4fac0781d508bc1f088f477b648

منبع خبر:


https://cybersecuritynews.com/linux-malware-sedexp

کشف آسیب‌پذیری در Tenda

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-8231 و شدت 8.7 (بحرانی) در Tenda O6 1.0.0.7(2054) کشف شده است. متغیر  v2، v3، v4، v6  پارامترهای  ip، localPort، publicPort، برنامه را با درخواست POST دریافت می کند وکاربر می‌تواند ورودی این پارامترها را کنترل کند و باعث سرریز بافر شود براساس بردار حمله این آسیب‌پذیری CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و چندان به شرایط خاصی نیاز نیست(AC:L)، حمله موفقیت‌آمیز به شرایط استقرار و اجرای سیستم آسیب‌پذیر بستگی ندارد (AT:N)، مهاجم برای انجام حمله نیازبه حساب کاربری با سطح دسترسی پایین دارد (PR:L) و به تعامل با کاربر نیاز ندارد (UI:N)، محرمانگی کاملاً از بین می‌رود و در نتیجه تمام اطلاعات موجود در سیستم آسیب‌پذیر در اختیار مهاجم قرار می‌گیرد، از طرف دیگر، دسترسی تنها به برخی از اطلاعات محدود به دست می‌آیدو اطلاعات افشا شده تأثیر مستقیم و جدی دارد. VC:H))، از دست دادن کامل یکپارچگی و پروتکل‌های امنیتی وجود دارد. (VI:H)، مهاجم می‌تواند با دسترسی کامل به منابع موجود در سیستم آسیب‌پذیر برخی از دسترسی ها را از بین ببرد والبته پیامد مستقیم و جدی را برای سیستم آسیب‌پذیر ایجاد کند( VA:H)، از دست دادن یکپارچگی در سیستم بعدی وجود ندارد واینکه تنها به سیستم آسیب‌پذیر محدود می‌شود( SI:N)وهیچ تاثیری بر در دسترس بودن آن وجود ندارد ( SA:N).

محصولات تحت تأثیر
این آسیب‌پذیری تابع VirtualSet فایل /goform/setPortForward  را تحت تأثیر قرار می‌دهد.

منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-8231
[2] https://github.com/abcdefg-png/AHU-IoT-vulnerable/blob/main/Tenda/web-bridge/O6V3.0/fromVirtualSet…

کشف آسیب‌پذیری بحرانی در ATISolutions CIGES

تاریخ ایجاد

یک آسیب‌پذیری به شماره شناسه CVE-2024-8161  و شدت ۹.۸ که یک نقص امنیتی بحرانی در نرم‌افزار ATISolutions CIGES است شناسایی شده است و به مهاجمین اجازه می‌دهد که از طریق تزریق دستورات SQL به پایگاه داده دسترسی پیدا کنند. این آسیب‌پذیری ناشی از عدم اعتبارسنجی کافی ورودی‌ها است، که به مهاجم امکان می‌دهد تا پرس‌وجوهای دلخواه خود را به پایگاه داده ارسال کند و به اطلاعات حساس دسترسی یابد.

محصولات تحت‌تأثیر
نسخه‌های قبل از 2.15.5 سیستم‌های CIGES تحت تاثیر این آسیب‌پذیری هستند.

توصیه‌های امنیتی
توصیه می‌شود که کاربران نسخه CIGES خود را به آخرین نسخه (2.15.5 یا بالاتر) به‌روزرسانی کنند، زیرا این نسخه شامل اصلاحات لازم برای جلوگیری از این آسیب‌پذیری است. همچنین، اعمال فیلترهای مناسب برای ورودی‌های کاربر و استفاده از مکانیزم‌های امنیتی مانند تزریق‌های آماده (prepared statements) می‌تواند به کاهش خطرات ناشی از SQL Injection کمک کند. مانیتورینگ و بررسی منظم لاگ‌های سیستم نیز می‌تواند به شناسایی و جلوگیری از حملات احتمالی کمک کند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-8161

کشف آسیب‌پذیری بحرانی در فایروال Hillstone Networks Web Application

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2024-8073 و شدت ۹.۸ یک نقص امنیتی بحرانی در فایروال  Hillstone Networks است که ناشی از اعتبارسنجی نامناسب ورودی‌ها می‌باشد. این آسیب‌پذیری به مهاجمین اجازه می‌دهد دستورات مخرب را از راه دور اجرا کنند، که می‌تواند منجر به دسترسی غیرمجاز به سیستم و اطلاعات حساس شود. به دلیل این نقص، مهاجمین می‌توانند به ‌طور کامل کنترل سیستم را به دست بگیرند و عملیات دلخواه خود را اجرا کنند.

محصولات تحت‌تأثیر
این آسیب‌‌‌‌‌‌‌‌‌‌پذیری نسخه‌‌‌‌‌‌‌‌‌‌های 5.5R6-2.6.7 تا 5.5R6-2.8.13 را تحت‌تأثیر قرار می‌دهد.

توصیه‌های امنیتی
آسیب‌‌‌‌‌‌‌‌‌‌پذیری ذکر شده با ارتقاء فایروال به نسخه 5.5R6-2.8.14 و بالاتر رفع می‌‌‌‌‌‌‌‌‌‌شود.

منابع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-8073