آسیب‌پذیری با شدت بالا در Ember ZNet

تاریخ ایجاد

EmberZNet PRO یک پکیج نرم‌افزاری کامل پروتکل Zigbee است که توسط Silicon Labs توسعه یافته است و تمام امکانات را که جهت ایجاد شبکه‌های قوی و قابل اعتماد برای همه دستگاه‌ها با استفاده از پلتفرم‌های Ember Silicon Labs فراهم کرده است.
آسیب‌پذیری با شناسه CVE-2023-6874 و شدت بالا (7.4) در این پکیج نرم‌افزاری کشف شده است که در آن مهاجم از طریق دستکاری شماره دنباله NWK می‌تواند باعث حمله انکار سرویس(DoS) شود.
بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد(UI:N). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیرگذار نیست (S: U). با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت با شدت بالا تحت تاثیر قرار می‌گیرد. (C:N/I:N/A:H)

محصولات تحت تأثیر
نسخه‌های قبل از 7.4.0  تحت تأثیر این نقص امنیتی قراردارند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود نرم‌افزار خود را به نسخه 7.4.0 یا بالاتر به‌روزرسانی کنند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2023-6874

آسیب‌پذیری با شدت بالا در نرم‌افزار SolarWinds

تاریخ ایجاد

SolarWinds Virtualization Manager (VMAN) نرم‌افزار جامع مدیریت سیستم‌های مجازی‌سازی است که امکاناتی نظیر نظارت بر مجازی‌سازی، مدیریت عملکرد، طرح‌ریزی پیشرفته ظرفیت دیسک و بهینه‌سازی در محیط‌های VMware vSphere، Microsoft Hyper-V و Nutanix AHV را در اختیار کاربران قرار می‌دهد.
دو آسیب‌پذیری با شناسه‌های CVE-2023-35188 و CVE-2023-50395 هر دو با شدت بالا (8.0) در SolarWinds شناسایی شده است. مهاجم هنگام ایجاد یک عبارت (statement) در پلتفرم SolarWinds ، می‌تواند آسیب‌پذیری SQL Injection Remote Code Execution را پیاده‌سازی و بهره‌برداری کند. مهاجم برای بهره‌برداری از این آسیب‌پذیری نیار به احراز هویت کاربر دارد.
بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) بهره‌برداری از آن از طریق شبکه داخلی و از راه نزدیک امکان‌پذیر است (AV:A) و نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L)، برای انجام حمله به حساب کاربری با سطح دسترسی پایین نیاز است (PR:L) و به تعامل با کاربر نیاز ندارد(UI: N). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S: U). با بهره‌برداری از این آسیب‌پذیری، سه ضلع امنیت با شدت بالا تحت تاثیر قرار می‌گیرند. (C:H/I:H/A:H)

محصولات تحت تآثیر
نسخه‌های قبل از نسخه 2024.1 تحت تأثیر آسیب‌پذیری‌های مذکور قراردارند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود نرم‌افزار VMAN را به نسخه 2024.1 یا بالاتر به‌روزرسانی کنند.

منبع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2023-35188
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-50395

حمله بات‌نت FritzFrog به دستگاه‌های مبتنی بر AMD و ARM

تاریخ ایجاد

بات‌نت FritzFrog یک بات‌نت پیشرفته توزیع‌شده است که با زبان Golang نوشته شده و می‌تواند بر روی دستگاه‌های مبتنی بر AMD و ARM مستقر شود. این بدافزار با به‌روزرسانی‌های مداوم، در طول زمان تکامل یافته و ویژگی‌های جدیدی به آن افزوده شده است که آن را خطرناک‌تر کرده است. ویژگی‌های جدید عبارتند از:

  •  بهره‌برداری از آسیب‌پذیری Log4Shell: نوع جدیدی از بات‌نت FritzFrog کشف شده است که از آسیب‌پذیری Log4Shell برای هدف قرار دادن تمام میزبان‌های موجود در شبکه داخلی بهره‌برداری می‌کند.
  • حملات بروت‌فورس SSH: این بدافزار با استفاده از اعتبارنامه‌های SSH ضعیف به سرورهایی که از طریق اینترنت قابل دسترسی هستند حمله می‌کند.
  •  شناسایی اهداف جدید: نسخه‌های جدیدتر بات‌نت با خواندن فایل‌های سیستمی، اهداف جدیدی را برای حمله پیدا می‌کنند.


FritzFrog از دو روش اصلی برای نفوذ به شبکه استفاده می‌کند:

  • جستجوی سرورهای HTTP آسیب‌پذیر:
  1.  این بات‌نت به دنبال سرورهای HTTP در پورت‌های 8080، 8090، 8888 و 9000 است که ممکن است در معرض آسیب‌پذیری Log4Shell قرار داشته باشند.
  2. اگر FritzFrog سرور آسیب‌پذیری را پیدا کند، می‌تواند از آن برای دسترسی به شبکه داخلی استفاده کند.
  • هدف قرار دادن برنامه‌های آسیب‌پذیر جاوا:
  1.  FritzFrog به دنبال برنامه‌های جاوا آسیب‌پذیر در شبکه شما است.
  2.  اگر این بات‌نت برنامه آسیب‌پذیری را پیدا کند، می‌تواند از آن برای نفوذ به سیستم و سرقت اطلاعات قربانی استفاده کند.

 توصیه‌های امنیتی

  •  جداسازی شبکه: استفاده از جداسازی شبکه می‌تواند مانع حرکت جانبی بدافزار شود. جداسازی مبتنی بر نرم‌افزار می‌تواند یک اقدام حفاظتی پایدار و نسبتاً آسان برای اجرا باشد.
  • اسکریپت تشخیص FritzFrog برای سرورهای SSH: برای کمک به شناسایی FritzFrog در سرورهای SSH، اسکریپتی در دسترس است که به دنبال نشانه‌های زیر می‌گردد:
  1. فرآیندهای در حال اجرا: اگر فرآیندهای با نام‌های nginx،ifconfig ، php-fpm، apache2 یا libexec در حال اجرا باشند اما فایل اجرایی آن‌ها در سیستم‌فایل وجود نداشته باشد، این نشانه‌ای از فعالیت FritzFrog است.
  2.  پورت شنود: اگر پورت 1234 در حال شنود باشد، این نیز می‌تواند نشانه‌ای از فعالیت FritzFrog باشد.


منبع خبر:


https://gbhackers.com/fritzfrog-botnet-linux-servers/

کشف آسیب‌پذیری بحرانی در سرور FTP

تاریخ ایجاد

یک آسیب‌پذیری بحرانی با شناسه  CVE-2024-0323 و شدت 9.8 در FTP  کشف شده است. سرور FTP مورد استفاده در B&R Automation Runtime از مکانیسم‌های رمزگذاری ناامن مانند SSLv3، TLSv1.0 و TLS1.1 پشتیبانی می‌کند. یک مهاجم می‌تواند از این نقص‌ها برای انجام حملات man-in-the-middle یا رمزگشایی ارتباطات بین کلاینت‌های محصول آسیب ‌دیده بهره‌برداری کند.


محصولات تحت‌تأثیر
تمامی نسخه‌های B&R Automation Runtime که قبل از نسخه 14.93 هستند تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
این نقص امنیتی در نسخه 14.93 رفع شده است و به کاربران توصیه می‌شود در اولین فرصت به‌روزرسانی را اعمال کنند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-0323

کشف آسیب‌پذیری در Django

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2024-24680 در  Django  شناسایی شده است که در صورت استفاده intcomma template filter از رشته‌های بسیار طولانی امکان حمله انکار سرویس (DOS) را برای مهاجم فراهم می‌آورد. این آسیب‌پذیری که دسترس‌پذیری را تحت تاثیر قرار می‌دهد، به‌علت دستکاری و تغییر ورودی، بر برخی پردازش‌ها در مولفه  intcomma Template Filter تاثیر می‌گذارد.

محصولات تحت تأثیر
این آسیب‌پذیری محصول Django نسخه 3.2 قبل از 3.2.24، نسخه 4.2 قبل از 4.2.10 و نسخه 5.0 قبل از 5.0.2 را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Django به نسخه‌های 5.0.2، 4.2.10 و 3.2.24 اقدام نمایند. 

منبع خبر:


https://www.djangoproject.com/weblog/2024/feb/06/security-releases

آسیب‌پذیری در Google Chrome

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2024-1283 و شدت بالا در  Google Chromeامکان سرریز بافر هیپ در Skia را از راه دور برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری مهاجم می‌تواند از طریق یک صفحه HTML  مخرب و دستکاری شده از خراب شدن هیپ بهره‌برداری کند. آسیب‌پذیری با شناسه CVE-2024-1284 و شدت بالا در  Google Chromeامکان Use-after-free در Mojo را از راه دور برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری مهاجم می‌تواند از طریق یک صفحه HTML مخرب و دستکاری شده از خراب شدن هیپ بهره‌برداری کند.

محصولات تحت تأثیر
این آسیب‌پذیری محصول Google Chrome نسخه قبل از 121.0.6167.160 را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Google Chrome به نسخه‌های وصله شده اقدام نمایند. 

منبع خبر:


https://chromereleases.googleblog.com/2024/02/stable-channel-update-for-desktop.html

آسیب‌پذیری اجرای کد مخرب از طریق پیمایش مسیر در Apache Sling Servlets Resolver

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2024-23673 و شدت بالا 8.5 در  Apache امکان اجرای کد مخرب از طریق پیمایش مسیر را برای مهاجم فراهم می‌آورد. آسیب‌پذیر بودن سیستم در برابر این حمله به پیکربندی دقیق سیستم بستگی دارد. اگر سیستم آسیب‌پذیر باشد، مهاجم با دسترسی نوشتن در مخزن (repository) می‌تواند Sling Servlet Resolver را جهت load اسکریپتی که قبلا بارگذاری (upload) شده است، فریب دهد.

محصولات تحت تأثیر
این آسیب‌پذیری محصول Apache Sling Servlets Resolver تمام نسخه‌های قبل از 2.11.0 را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Apache Sling Servlets Resolver به نسخه 2.11.0 اقدام نمایند. 

منبع خبر:


https://lists.apache.org/thread/5zzx8ztwc6tmbwlw80m2pbrp3913l2kl

کشف آسیب‌پذیری بحرانی در ابزار CPIO

تاریخ ایجاد

به ‌تازگی یک آسیب‌پذیری بحرانی با شناسه   CVE-2023-7216 و شدت  8.8 در ابزار CPIO کشف شده است. این آسیب‌پذیری برخی از عملکردهای Archive handler  را تحت تأثیر قرار می‌دهد و منجر به آسیب‌پذیری path traversal  خواهد شد. این نقص می‌تواند به یک مهاجم از راه دور اجازه دهد تا با فریب کاربر برای باز کردن یک آرشیو خاص، دستورات دلخواه خود را بر روی سیستم هدف اجرا کند.

محصولات تحت‌تأثیر
اطلاعات کافی برای نسخه‌هایی که تحت تأثیر این آسیب‌پذیری هستند در دسترس نیست اما نسخه‌های Red Hat Enterprise Linux 6,7,8,9 تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
تاکنون هیچ راه‌حل امنیتی برای رفع آسیب‌پذیری مذکور ارائه نشده است. از آنجایی که بهره‌برداری از این آسیب‌پذیری به مهندسی اجتماعی نیاز دارد، توصیه می‌شود آرشیوهای خود را تا رفع این آسیب‌پذیری تا حد امکان اجرا نکنید.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2023-7216

کشف آسیب‌پذیری بحرانی در Fortinet FortiSIEM

تاریخ ایجاد

به ‌تازگی یک آسیب‌پذیری بحرانی با شناسه  CVE-2024-23109,CVE-2024-23108 و شدت ۱۰ کشف شده است. این آسیب‌پذیری به دلیل بررسی و اجرای نادرست فرمان‌های سیستم‌عامل به وجود می‌آید که از این طریق مهاجم می‌تواند با تغییر ورودی‌هااز طریق API Request Handler، دستورات سیستمی خود را اجرا کند که این امر منجر به os command injection می‌شود.

محصولات تحت‌تأثیر
این آسیب¬پذیری محصولات زیر را تحت‌تأثیر قرار می‌دهد:
•    نسخه های 7.1.0 تا 7.1.1
•    نسخه های 7.0.0 تا 7.0.2
•    نسخه های 6.7.0 تا 6.7.8 
•    نسخه های 6.6.0 تا 6.6.3 
•    نسخه های 6.5.0 تا 6.5.2
•    نسخه های 6.4.0 تا 6.4.2 


توصیه‌های امنیتی
اعمال به‌روزرسانی به نسخه نهایی این آسیب‌پذیری را رفع می‌کند.

منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-23108
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-23109

کشف آسیب‌پذیری بحرانی در QiboCMS X1

تاریخ ایجاد

 یک آسیب‌پذیری بحرانی با شناسه  CVE-2024-1225 و با شدت  7.3 در QiboCMS X1 شناسایی شده است که مربوط به تابعی به نام rmb_pay در فایل /application/index/controller/Pay.php می‌باشد  و مهاجم می‌تواند از راه دور با دستکاری آرگومان callback_class منجر به deserialization شود.
 

محصولات تحت‌تأثیر
از نسخه 1.0.0 تا نسخه 1.0.6 محصول QiboCMS X1 تحت تأثیر این آسیب‌پذیری هستند.

توصیه‌های امنیتی
تاکنون هیچ راه‌حلی برای رفع کامل این آسیب‌پذیری منتشر نشده است.


منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-1225