به‌تازگی یک آسیب‌‌‌‌‌‌‌‌پذیری بحرانی با شناسه CVE-2024-39576 و شدت 8.8 در برنامه Dell Power Manager کشف شده است. این آسیب‌‌‌‌‌‌‌‌پذیری از نوع اختصاص نادرست سطح دسترسی می‌‌‌‌‌‌‌‌باشد و این امکان را به مهاجمان دارای سطح دسترسی پایین و محلی می‌‌‌‌‌‌‌‌دهد تا کد دلخواه اجرا کنند و سطح دسترسی خود را ارتقا دهند.

محصولات تحت‌تأثیر
این آسیب‌‌‌‌‌‌‌‌پذیری تمامی نسخه‌ها تا نسخه 3.15.0 را تحت‌تأثیر قرار می‌دهد.

توصیه‌های امنیتی
آسیب‌‌‌‌‌‌‌‌پذیری ذکر شده با ارتقاء افزونه به نسخه 3.16.0 و بالاتر رفع می‌‌‌‌‌‌‌‌شود.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-39576

افزونه LiteSpeed Cache  یکی از افزونه‌های قدرتمند وردپرس است که به بهینه‌سازی سرعت و عملکرد سامانه وب کمک می‌کند. این افزونه، با ذخیره صفحات در حافظه نهان (کش) زمان بارگذاری را به‌طور چشمگیری کاهش می‌دهد و فشار روی سرور را کمتر می‌کند. علاوه بر این، امکانات دیگری مانند بهینه‌سازی تصاویر، فشرده‌سازی کدها، پشتیبانی از CDN  و پیش‌بارگذاری حافظه نهان را هم ارائه می‌دهد تا سامانه وب، همیشه سریع و کارآمد باشد. اخیرا یک آسیب‌پذیری با شناسه CVE-2024-28000 و امتیاز CVSS:9.8 در این افزونه کشف شده است که می‌تواند به مهاجمان اجازه دهد بدون نیاز به ورود به سیستم به سطح دسترسی مدیر دست یابند.
این نقص امنیتی ناشی از یک ویژگی شبیه‌سازی کاربر در افزونه است که از یک تابع Hash امنیتی ضعیف استفاده می‌کند. این تابع با یک عدد تصادفی تولید می‌شود که به سادگی قابل حدس زدن است و به همین دلیل مهاجمان به راحتی می‌توانند این مقدار Hash را حدس بزنند. اگر مهاجمی به Hash معتبر دسترسی پیدا کند می‌تواند شناسه خود را به شناسه یک مدیر تغییر دهد و از طریق API وردپرس، یک حساب کاربری جدید با دسترسی مدیر ایجاد نماید.

یک آسیب‌‌‌‌‌‌‌‌‌پذیری بحرانی دیگر با شناسه CVE-2024-7568 و شدت 9.6 در افزونه The Favicon Generator وردپرس کشف شده است. این آسیب‌‌‌‌‌‌‌‌‌پذیری از نوع جعل درخواست میان‌‌‌‌‌‌‌‌‌سایتی و به دلیل عدم اعتبارسنجی یا اعتبارسنجی نادرست عدد یک‌‌‌‌‌‌‌‌‌بار‌‌‌‌‌‌‌‌‌مصرف (nonce) می‌‌‌‌‌‌‌‌‌باشد و این امکان را به مهاجمان احراز هویت نشده می‌دهد تا به وسیله یک درخواست جعلی ارسال شده برای یکی از ادمین‌‌‌‌‌‌‌‌‌های سایت و برای مثال، فریب او برای کلیک کردن بر روی لینکی موجود در این درخواست، فایل‌‌‌‌‌‌‌‌‌های دلخواه را از روی سرور پاک کنند.

محصولات تحت تأثیر
 شناسه CVE-2024-28000: تمامی نسخه‌های افزونه  LiteSpeed Cache به ‌ویژه نسخه‌های قبل از 6.4  و6.3.0.1 تحت تاثیر این آسیب‌پذیری قرار دارند.

شناسه CVE-2024-7568: این آسیب‌پذیری تمامی نسخه‌ها تا نسخه 1.5 را تحت ‌تأثیر قرار می‌دهد.

توصیه‌های امنیتی

شناسه CVE-2024-28000:

•  به‌روزرسانی: تمامی کاربران باید سریعا افزونه LiteSpeed Cache  را به نسخه 6.4  یا بالاتر به‌روزرسانی کنند.
•  بررسی لاگ‌های سیستم: کاربران باید لاگ‌های Debug را به دقت بررسی کرده و مطمئن شوند که هیچ Hash مشکوکی در دسترس نیست.
•  پیش‌گیری از حملات Brute Force: تقویت مکانیزم‌های امنیتی مانند محدود کردن تعداد تلاش‌های ورود به سیستم می‌تواند از حملات Brute Force جلوگیری کند.

شناسه CVE-2024-7568: آسیب‌پذیری مذکور با ارتقاء افزونه به نسخه 2.1 و بالاتر رفع می‌شود.

منابع خبر:

[1] https://thehackernews.com/2024/08/critical-flaw-in-wordpress-litespeed.html

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-7568

به ‌تازگی یک آسیب‌پذیری بحرانی با شناسه CVE-2024-28987 و شدت امنیتی بحرانی در نرم‌افزار SolarWinds Web Help Desk (WHD) شناسایی شده است. این آسیب‌پذیری بدین صورت است که تحت تأثیر یک آسیب پذیری اعتبارنامه هاردکد قرار گرفته است که به کاربر غیر مجاز از راه دور اجازه می دهد تا به عملکرد داخلی دسترسی داشته باشد و داده‌ها را تغییر دهد.

محصولات تحت‌تأثیر
•    نسخه‌های قبل از Web Help Desk 12.8.3.1813
•     نسخه‌های قبل از 12.8.3 HF1

توصیه‌های امنیتی
 SolarWinds به مدیران سیستم هشدار داده است که سرورهای آسیب‌پذیر را به نسخه  12.8.3.1813 Web Help Desk  یا 12.8.3 HF1 ارتقا دهند. همچنین توصیه می‌کند از تمام فایل‌های اصلی قبل از تعویض آن‌ها در طول فرآیند نصب Hotfix نسخه پشتیبان تهیه کنید تا در صورت عدم موفقیت یا عدم استفاده صحیح، از مشکلات احتمالی جلوگیری شود.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-28987

 به تازگی یک آسیب‌‌‌‌پذیری بحرانی با شناسه CVE-2024-42393 و شدت 9.8 در سرویس School Management System کشف شده است. این آسیب‌پذیری بدین صورت است که به مهاجم اجازه می‌دهد تا با استفاده از url  سایت، حملات تزریق کد sql را انجام دهد و به پایگاه‌داده دسترسی پیدا کند.

محصولات تحت‌تأثیر
این آسیب‌‌‌‌پذیری تمامی محصولاتی که از سرویس School-Management-System و شماره ثبت (commit) bae5aaf37a44ee90163a1b81726ea27dabb26e06 استفاده می‌کنند را تحت تاثیر قرار می‌دهد.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-42574

یک آسیب‌پذیری بحرانی با شناسه CVE-2024-7971، اخیرا در مرورگر گوگل کروم کشف شده است که می‌تواند خطرات بزرگی برای کاربران ایجاد کند. این نقص امنیتی در موتور V8 جاوا اسکریپت و WebAssembly قرار دارد. در این نوع نقص، مرورگر به اشتباه داده‌هایی را پردازش می‌کند که می‌تواند به خرابی حافظه و حتی بهره‌برداری از راه دور توسط مهاجمان منجر شود. در واقع مهاجمان می‌توانند با ایجاد یک صفحه وب مخرب کنترل سیستم را در دست بگیرند.
این نقص امنیتی در ۱۹ آگوست ۲۰۲۴ گزارش شده است اما به دلیل محافظت از کاربران هنوز جزئیات کامل درباره این آسیب‌پذیری و اینکه چه کسانی ممکن است از آن بهره‌برداری کنند، منتشر نشده است. این تصمیم به این دلیل گرفته شده است تا کاربران فرصت داشته باشند مرورگر خود را به‌روزرسانی کنند و از خطرات احتمالی در امان باشند.

محصولات تحت تأثیر
علاوه بر مرورگر Chrome سایر مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera  را نیز تحت تأثیر آسیب‌پذیری ذکر شده قرار می‌گیرند. این موضوع به این دلیل است که این مرورگرها از موتور V8 برای پردازش JavaScript و WebAssembly استفاده می‌کنند.

توصیه‌های امنیتی
 کاربران جهت به‌روزرسانی، مرورگر Google Chrome نسخه 128.0.6613.84 و 128.0.6613.85 برای ویندوز و مک و نسخه  128.0.6613.84 برای لینوکس را نصب کنند.  همچنین کاربران مرورگرهایی مانند Microsoft Edge، Brave، Opera   نیز باید به‌روزرسانی‌های امنیتی ارائه شده را به محض در دسترس بودن اعمال کنند.

منبع خبر:

https://thehackernews.com/2024/08/google-fixes-high-severity-chrome-flaw.html

آسیب‌پذیری با شناسه CVE-2024-40766، امتیاز 8.6 و شدت بالا در مکانیزم کنترل دسترسی فایروال‌های SonicWall شناسایی شده است. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا به طور غیرمجاز به منابع سیستم دسترسی پیدا کرده و در برخی موارد، باعث از کار افتادن فایروال شوند.

محصولات تحت تأثیر

توصیه‌های امنیتی
•    توصیه شده است فریمور فایروال به آخرین نسخه موجود به‌روزرسانی شود. این مهم‌ترین قدم برای رفع این آسیب‌پذیری است.
•    محدود کردن دسترسی: دسترسی به تنظیمات فایروال را به حداقل افراد مورد اعتماد محدود کنید.
•    غیرفعال کردن دسترسی از راه دور: اگر نیازی به دسترسی از راه دور به فایروال ندارید، این گزینه را غیرفعال کنید.

منابع خبر:

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015
https://nvd.nist.gov/vuln/detail/CVE-2024-40766

به تازگی یک گروه هکری جدید با نام Mad Liberator، کاربران AnyDesk را هدف حمله قرار داده است. این گروه پس از پذیرش درخواست anydesk توسط قربانی، با نمایش یک صفحه به‌روزرسانی جعلی ویندوز در پشت زمینه، اطلاعات کاربران را به سرقت می‏برد و پس از مدتی از قربانی برای عدم افشای اطلاعات وی اخاذی می‏کند. این گروه هکری تاکنون اطلاعات 9 قربانی را در وب‏سایت خود افشا کرده است.
حمله Mad Liberator با اتصال ناخواسته به رایانه با استفاده از برنامه دسترسی از راه دور AnyDesk که در بین تیم‌های فناوری اطلاعات محبوب است آغاز می‌شود. مشخص نیست که مهاجم چگونه اهداف خود را انتخاب می‌کند، اما ممکن است شناسه‏های اتصال AnyDesk را تا زمانی که کسی درخواست اتصال را بپذیرد امتحان ‏کند.
هنگامی که درخواست اتصال تأیید شد، مهاجم یک فایل باینری به نام Microsoft Windows Update  را روی سیستم قربانی قرار می‌دهد که یک صفحه نمایش جعلی به روزرسانی ویندوز را نشان می‌دهد. مهاجم از این ترفند برای منحرف کردن حواس قربانی استفاده می‏کند و در پشت زمینه از ابزار AnyDesk's File Transfer  برای سرقت داده‌ها از حساب‌های OneDrive، اشتراک‌های شبکه و حافظه محلی استفاده می‌کند. در زمان نمایش صفحه به‌روزرسانی جعلی، صفحه‌کلید قربانی غیرفعال می‌شود تا از اختلال در فرآیند سرقت اطلاعات جلوگیری شود.
در حملات مشاهده شده توسط شرکت سوفوس که تقریباً چهار ساعت به طول انجامیده این گروه پس از سرقت اطلاعات هیچ گونه رمزگذاری بر روی داده‏ها انجام نداده است. با این حال، یادداشت‌های باج‌گیری را به اشتراک گذاشته تا از دیده شدن به اندازه کافی در محیط‌ شرکت اطمینان حاصل کند.
این گروه برای اخاذی از کاربران ابتدا با شرکت‏های قربانی تماس می‏گیرد و پیشنهاد می‏کند در صورت برآورده شدن مطالبات مالی آنها، به آنها کمک کنند تا مشکلات امنیتی خود را برطرف کرده و فایل‌های رمزگذاری شده را بازیابی کنند. اگر شرکت قربانی در 24 ساعت پاسخ ندهد، نام آنها در پورتال اخاذی منتشر می‏شود و هفت روز فرصت داده می‏شود تا با مهاجمان تماس بگیرند. پس از گذشت پنج روز دیگر، در صورت عدم پرداخت باج، تمامی اطلاعات سرقت شده در وب‌سایت Mad Liberator منتشر می‌شود. این گروه تاکنون اطلاعات 9 قربانی را منتشر کرده است.

منبع خبر:

https://www.bleepingcomputer.com/news/security/new-mad-liberator-gang-uses-fake-windows-update-scre…

محققان امنیت سایبری موفق به شناسایی یک بدافزار جدید شده‌اند که به طور خاص برای هدف قرار دادن سیستم‌های Apple macOS و سرقت اطلاعات آن‌ها طراحی شده ‌است. این بدافزار که با نام Banshee Stealer شناخته می‌شود، طیف گسترده‌ای از مرورگرها، کیف پول‌های ارز دیجیتال، و حدود 100 افزونه مرورگر را هدف قرار می‌دهد که آن را به یک تهدید چندمنظوره و بسیار خطرناک تبدیل می‌کند.
مرورگرها و کیف پول‌های دیجیتالی که توسط این بدافزار هدف قرار می‌گیرند، شامل Safari، Google Chrome، Mozilla Firefox، Brave، Microsoft Edge، Vivaldi، Yandex، Opera، OperaGX، Exodus، Electrum، Coinomi، Guarda، Wasabi Wallet، Atomic و Ledger هستند.
همچنین این بدافزار قابلیت جمع‌آوری اطلاعات سیستم و داده‌های رمزهای عبور iCloud Keychain (یک سرویس مدیریت و ذخیره‌سازی امن رمز عبور و اطلاعات حساس ارائه شده توسط Apple) و Notes را دارد و مجهز به تعدادی از اقدامات ضدتحلیل و ضدعیب‌یابی است تا تشخیص دهد آیا در محیط مجازی اجرا می‌شود یا خیر، و به این ترتیب از تشخیص توسط سیستم‌های امنیتی جلوگیری می‌کند.
همانند سایر بدافزارهای macOS مانند Cuckoo و MacStealer، Banshee Stealer نیز از osascript استفاده می‌کند تا یک پنجره‌ی جعلی ورودی رمز عبور را نمایش داده و کاربران را فریب دهد تا رمز عبور سیستم خود را برای افزایش سطح دسترسی وارد کنند. osascript یک ابزار خط فرمان (command-line) در macOS است که به کاربران اجازه می‌دهد اسکریپت‌های AppleScript یا JavaScript for Automation (JXA) را اجرا کنند. مهاجمان می‌توانند از osascript برای نمایش پیام‌های جعلی یا اجرای کدهای مخرب به منظور فریب دادن کاربران و کسب دسترسی‌های بیشتر استفاده کنند.
از دیگر ویژگی‌های قابل توجه این بدافزار، توانایی جمع‌آوری داده‌ها از فایل‌هایی با پسوند .txt، .docx، .rtf، .doc، .wallet، .keys و .key از پوشه‌های Desktop و Documents است. داده‌های جمع‌آوری‌شده سپس به صورت یک فایل فشرده ZIP به یک سرور راه دور ("45.142.122[.]92/send/") ارسال می‌شود. بنابراین، حمله‌ی بدافزار Banshee Stealer در چندین مرحله شامل آلوده‌سازی سیستم، جمع‌آوری اطلاعات حساس از مرورگرها و فایل‌ها، فریب کاربر برای دریافت دسترسی‌های بیشتر، و جلوگیری از شناسایی توسط سیستم‌های امنیتی پیش می‌رود و نهایتاً با ارسال داده‌های جمع‌آوری‌شده به سرور مهاجمان به اتمام می‌رسد.

توصیه‌های امنیتی
به گفته‌ی محققان،‌ همانطور که macOS به‌طور فزاینده‌ای هدف اصلی مجرمان سایبری می‌شود، Banshee Stealer نیز نشان‌دهنده افزایش توجه به بدافزارهای خاص macOS است.
برای مقابله با بدافزار Banshee Stealer و جلوگیری از نفوذ آسیب‌های مشابه در سیستم‌های macOS، کاربران و سازمان‌ها باید به رعایت نکات زیر اهتمام ورزند:

• به‌روزرسانی مداوم سیستم‌عامل macOS و تمام نرم‌افزارهای نصب شده، به‌ویژه مرورگرها و کیف پول‌های ارز دیجیتال
• استفاده از نرم‌افزارهای امنیتی معتبر
• احتیاط در مواجهه با پنجره‌های ورودی رمز عبور
• پیکربندی تنظیمات امنیتی iCloud
• استفاده از روش‌های احراز هویت چندمرحله‌ای
• بررسی و نظارت مستمر سیستم‌ها
• پشتیبان‌گیری منظم
   

منبع خبر:

https://thehackernews.com/2024/08/new-banshee-stealer-targets-100-browser.html?m=1

محققان امنیت سایبری کشف کرده‌اند که هزاران سایت تجارت الکترونیک که از پلتفرم Oracle NetSuite استفاده می‌کنند، اطلاعات حساس مشتریان را به دلیل پیکربندی نادرست کنترل دسترسی در معرض خطر قرار داده‌اند. این مشکل به ویژه در انواع رکوردهای سفارشی (CRTs) که توسط مشتریان NetSuite ایجاد شده‌اند، مشاهده می‌شود.
براساس یافته‌های AppOmni، هزاران وب‌سایت عمومی اطلاعات حساس مشتریان، از جمله آدرس‌های کامل و شماره تلفن‌های همراه، را به دلیل این پیکربندی نادرست افشا می‌کنند. در بسیاری از موارد، این مشکل به دلیل استفاده از یک وب‌سایت پیش‌فرض عمومی پس از خرید نسخه NetSuite اتفاق افتاده است.
این امر می تواند به یک مهاجم اجازه دهد تا درخواست های HTML ایجاد کند که منجر به بازگشت سوابق کاربر شود، در بیشتر موارد اطلاعاتی مانند اطلاعات آدرس و مشخصات تماس.
سناریوی حمله‌ای که AppOmni تشریح کرده، از CRT هایی با دسترسی آزاد استفاده می‌کند. این بدان معناست که کاربران بدون نیاز به احراز هویت می‌توانند از طریق  APIهای NetSuite به داده‌ها دسترسی پیدا کنند. البته، برای انجام این حمله، مهاجم باید نام دقیق این  CRTها را بداند. از طرف دیگر، Cymulate راهی برای دور زدن سیستم احراز هویت Microsoft Entra ID (که قبلاً Azure AD نامیده می‌شد) پیدا کرده است. برای انجام این حمله، مهاجم نیاز به دسترسی به یک حساب مدیریتی خاص دارد که بر روی سروری قرار دارد که مسئولیت کنترل دسترسی کاربران را بر عهده دارد. مشکل اصلی این حمله به نحوه اتصال چندین سیستم به یکدیگر مربوط می‌شود.
این مشکل زمانی رخ می‌دهد که درخواست‌های ورود کاربران به سیستم‌های مختلف به اشتباه مدیریت می‌شود. این اشتباه به دلیل نحوه کارکرد یک بخش خاص از سیستم امنیتی به نام "عامل احراز هویت گذرگاهی" (PTA) ایجاد می‌شود. این بخش معمولاً برای تأیید هویت کاربران استفاده می‌شود، اما در این حالت به جای محافظت از سیستم، راه را برای هکرها باز می‌کند. هکرها می‌توانند از این ضعف استفاده کنند و بدون داشتن رمز عبور اصلی، به راحتی وارد سیستم شوند. حتی ممکن است بتوانند به عنوان مدیر اصلی سیستم عمل کنند و به تمام اطلاعات و تنظیمات سیستم دسترسی پیدا کنند.

توصیه‌های امنیتی
برای کاهش خطر، توصیه می‌شود که مدیران سایت، کنترل دسترسی بر روی CRTها را تقویت کنند، فیلدهای حساس را برای دسترسی عمومی روی "None" تنظیم کنند و سایت‌های تحت تأثیر را به طور موقت برای جلوگیری از افشای داده‌ها آفلاین کنند.

منبع‌خبر:

https://thehackernews.com/2024/08/thousands-of-oracle-netsuite-sites-t.html

یک آسیب‌پذیری بحرانی از نوع PHP Object Injection در افزونه وردپرس GiveWP کشف شده است که در نهایت منجر به اجرای کد از راه دور بدون نیاز به تصدیق هویت می‌شود. شناسه CVE-2024-5932 به این آسیب‌پذیری اختصاص یافته و دارای امتیاز 10 و سطح بحرانی می‌باشد. بیش از 100 هزار وب‌سایت از این افزونه استفاده می‌کنند. افزونه GiveWP برای جمع‌آوری کمک‌های مالی مورد استفاده قرار می‌گیرد و برخی از سرویس‌های پرداخت‌یار ایرانی نیز دارای ماژول برای این افزونه می‌باشند.

زبان PHP جهت ذخیره‌سازی داده‌های پیچیده از serialization استفاده می‌کند. داده‌های Serialized شده برای ذخیره‌سازی در حجم بالا مناسب هستند و وردپرس از آن برای بسیاری از تنظیمات خود استفاده می‌کند. اما این می‌تواند یک مشکل امنیتی باشد، زیرا می‌توان برای ذخیره object های PHP از آن استفاده کرد.
اگر یک افزونه داده‌های ارسال شده توسط کاربر را بدون تایید اعتبار unserialize کند، آنگاه یک مهاجم می‌تواند اقدام به تزریق یک پیلود نماید که موقع unserialize شدن تبدیل به یک PHP object شود. در حالی که یک PHP object ساده خطرناک نیست، اما موقعی که کلاس دارای magic method باشد این وضعیت متفاوت خواهد بود.
افزونه GiveWP دارای ویژگی‌های متعددی از جمله فرم‌های کمک مالی شخصی‌سازی شده، و یکپارچه‌سازی با درگاه‌ها و سرویس‌های شخص ثالث و ... است. با بررسی کد منبع این افزونه مشاهده می‌شود که تابع give_process_donation_form()  برای رسیدگی و پردازش کمک‌های مالی مورد استفاده قرار می‌گیرد. در داخل این تابع از توابع دیگری جهت تایید اعتبار داده‌ها استفاده می‌شود، اما متاسفانه در نسخه آسیب‌پذیر بر روی پارامتر POST به نام give_title تایید اعتبار کافی انجام نمی‌شود که این در نهایت باعث بهره‌برداری از آسیب‌پذیری خواهد شد و می‌توان یک وب‌شل را بر روی سرور آپلود کرد.

محصولات تحت تاثیر
نسخه 3.14.1 و تمام نسخه‌های پایین‌تر افزونه GiveWP تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
این آسیب‌پذیری در نسخه 3.14.2 برطرف شده است. لذا توصیه می‌شود در اسرع وقت نسبت به نصب این نسخه یا نسخه‌های بالاتر اقدام نمایید.

منبع خبر:

https://www.wordfence.com/blog/2024/08/4998-bounty-awarded-and-100000-wordpress-sites-protected-aga…