کشف آسیب‌پذیری در Linux kernel

تاریخ ایجاد

یک آسیب‌پذیری side-channel leakage با شناسه CVE-2023-6240  و شدت متوسط (6.5) در Linux کشف شده است. این آسیب‌پذیری به نام « Marvin » در عملیات رمزگشایی RSA در هسته لینوکس شناسایی شده است. مهاجمی که به شبکه نفوذ کرده است با بهره‌برداری از این نقص می‌تواند اسناد رمزگذاری شده را رمزگشایی کرده و یا جعل امضاء کند و سرویس‌هایی که از آن کلید خصوصی استفاده می‌کنند، محدود کند.
بر اساس بردار حمله این آسیب‌پذیری(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N) بهره‌برداری از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار نست و به شرایط خاصی نیاز  ایست (AC:H)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی بالا ندارد (PR:N)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت را با شدت بالا تحت تأثیر قرار می‌گیرد.

توصیه‌های امنیتی
ارتقاء به آخرین نسخه، این نقص را برطرف می‌کند همچنین به کاربران توصیه می‌شود از رمزگذاری RSA PKCS#1 v1.5 استفاده نکنند.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2023-6240 

کشف آسیب‌پذیری بحرانی در OpenHarmony

تاریخ ایجاد

به ‌تازگی یک آسیب‌پذیری بحرانی با شناسه  CVE-2024-21860 و شدت  8.2 در OpenHarmony کشف شده است که مهاجم می‌تواند از این طریق کدهای دلخواه خود را اجرا کند.

محصولات تحت‌تأثیر
نسخه 4.0.0 و نسخه‌های قبل‌تر OpenHarmony تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
اعمال به‌روزرسانی به نسخه 4.0.1، این آسیب‌پذیری را رفع خواهد کرد.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-21860

کشف 7 آسیب پذیری درSecurity Access Manager IBM

تاریخ ایجاد

 ( Security Access Manager ) IBM یک ارائه‌دهنده خدمات مدیریت دسترسی و احراز هویت کاربران به برنامه‌های وب می‌باشد و به حفاظت از برنامه‌ها در برابر تهدیدات شبکه کمک می‌کند. 7 آسیبپذیری در نسخه‌های 10.0.0.0 تا 10.0.6.1 دستگاه IBM Security Verify Access Appliance و Docker IBM Security Verify Access کشف شده است که جزئیات آن به شرح ذیل می باشد.

•    CVE-2023-30999 : این آسیب‌پذیری ممکن است به مهاجم اجازه دهد تا به دلیل مصرف منابع بدون کنترل، یک سرویس را از دست بدهد. (شدت 7.5)
•    CVE-2023-31004 : ممکن است Container IBM به یک مهاجم از راه دور امکان دهد که با استفاده از تکنیک‌های Man-in-the-Middle به دستگاه دسترسی پیدا کند.(شدت 8.3)
•    CVE-2023-31005 : ممکن است Container IBM به کاربر محلی اجازه دهد که به دلیل یک پیکربندی امنیتی نادرست، سطح دسترسی خود را افزایش دهد.(شدت 6.2)
•    CVE-2023-31006 : سرویس IBM Security Verify Access Container ممکن است از طریق سرور DSC، تحت تأثیر حملات انکار سرویس (DoS) قرار بگیرد.(شدت 6.5)
•    CVE-2023-32327 : سرویس IBM Security Access Manager Container ممکن است هنگام پردازش داده‌های XML، تحت تأثیر حمله XML (XXE) قرار گیرد. مهاجم از راه دور ممکن است از این آسیب‌پذیری بهره‌برداری کند تا اطلاعات حساس را استخراج و یا منابع حافظه را مصرف کند.(7.1)
•    CVE-2023-32329 : سرویس IBM Security Access Manager Container تحت تأثیر این آسیب‌پذیری قرار دارد و  به کاربر اجازه می‌دهد که از طریق اعتبارسنجی نادرست فایل، آن‌ها را از یک منبع نادرست دانلود کند.(شدت 6.2)
•    CVE-2032-43016 : از طریق این آسیب‌پذیری، سرویس IBM Security Verify Access ممکن است به مهاجم اجازه ورود به سرور را بدون وارد کردن گذرواژه بدهد.(شدت 7.3)

محصولات تحت تأثیر
نسخه‌های 10.0.0.0 تا 10.0.6.1 محصولات IBM Security Verify Access Docker وIBM Security Verify Access Appliance تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
لازم است که تمام کاربران، هرچه سریع‌تر محصول خود را به نسخه 10.0.7 ارتقاء دهند.

منبع خبر:


https://www.ibm.com/support/pages/node/7106586

کشف آسیب‌پذیری در AnyDesk

تاریخ ایجاد

شرکت AnyDesk که ارائه‌دهنده‌ی امکانات دسترسی از راه دور می‌باشد، اخیراً مورد حمله سایبری قرار گرفته است. این حمله به مهاجمان اجازه می‌دهد تا به سیستم‌های تولیدی این شرکت دسترسی پیدا کنند. طی این حمله، اطلاعات حساسی از جمله کد منبع و کلیدهای امضای کد خصوصی به سرقت رفته است. این شرکت دارای بیش از 170 هزار مشتری در سراسر جهان است و این مشتریان مربوط به از طیف وسیعی از صنایع و سازمان‌ها می‌باشند. برخی از مشتریان برجسته AnyDesk عبارتند از:
•    7-Eleven
•    Comcast
•    سامسونگ
•    MIT
•    NVIDIA
•    SIEMENS
•    سازمان ملل متحد

 شرکت AnyDesk اعلام کرد که نرم‌افزار به گونه‌ای طراحی شده است که توکن‌های احراز هویت جلسات غیرقابل سرقت باشند. این توکن‌ها فقط در دستگاه کاربر نهایی و با اثرانگشت آن دستگاه مرتبط هستند و این توکن‌ها هیچ‌گاه در سیستم‌های شرکت ذخیره نمی‌شوند. با بررسی فایل‌های قدیمی و جدید AnyDesk می‌توان نتیجه گرفت که:

  • نسخه‌های قدیمی:

o    با نام "philandro Software GmbH" امضا شده‌اند.
o    شماره سریال آن‌ها "0dbf152deaf0b981a8a938d53f769db8" است.

  •  نسخه‌های جدید:

o    با نام "AnyDesk Software GmbH" امضا شده‌اند.
o    شماره سریال آن‌ها "0a8177fcd8936a91b5e0eddf995b0ba5" است.
 

12

امضای AnyDesk 8.0.6 (سمت چپ) در مقابل AnyDesk 8.0.8 (سمت راست)


توصیه‌های امنیتی
به دنبال افشای اطلاعات کاربران AnyDesk، توصیه می‌شود که کاربران رمز عبور خود را در این نرم‌افزار و همچنین سایر وب‌سایت‌ها و محصولاتی که از همان رمز عبور استفاده می‌کنند، تغییر دهند.


منبع خبر:


https://www.bleepingcomputer.com/news/security/anydesk-says-hackers-breached-its-production-servers…

کشف آسیب‌پذیری و امکان دسترسی به حساب‌های کاربری در Mastodon

تاریخ ایجاد

یک آسیب‌پذیری بحرانی با شدت 9.4 در شبکه اجتماعی Mastodon کشف شده است که به مهاجم اجازه می‌دهد از راه دور بتواند  حساب کاربری دلخواهش را تصاحب کند. این شبکه اجتماعی دارای بیش از 11 هزار کاربر فعال در جهان می‌باشد. این آسیب‌پذیری شناسه CVE-2024-23832 را به خود اختصاص داده است و به دلیل احرازهویت نادرست origin اتفاق می‌افتد و به مهاجم اجازه می‌دهد خود را به جای کاربر دیگری جا زده و حساب کاربری وی را تصاحب کند. در ماه جولای 2023 نیز یک آسیب‌پذیری با شناسه CVE-2023-36460 به نام TootRoot در این پلتفرم کشف شده بود که به کاربران اجازه می‌داد با ارسال پست یک web shell را بر روی گره مورد نظر ایجاد کنند. بهره‌برداری از این آسیب‌پذیری‌ها به مهاجم اجازه می‌دهد کنترل سرورهای Mastodon را به دست گرفته و به اطلاعات حساس کاربران و ارتباطات آن‌ها دسترسی پیدا کرده و بر روی سرور، Backdoor ایجاد کند.

محصولات تحت تاثیر
•    کلیه نسخه‌های قبل از 3.5.17 
•    در سری 4.0 نسخه‌های قبل از 4.0.13 
•    در سری 4.1 نسخه‌های قبل از 4.1.13 
•    در سری 4.2 نسخه‌های قبل از 4.2.5 

توصیه‌های امنیتی
کاربران معمولی Mastodon نمی‌توانند اقدامات کاهشی خاصی انجام دهند. کاربرانی که دسترسی Admin دارند باید پلتفرم خود را به نسخه 4.2.5 یا بالاتر به‌روزرسانی نمایند. توصیه می‌شود کلیه کاربران با سطح دسترسی ادمین Mastodon، در اسرع وقت نسبت به اعمال به‌روزرسانی و محافظت از سایرکاربران خود اقدام نمایند. خوشبختانه هشدار به‌روزرسانی توسط Mastodon برای کلیه کاربران Admin ارسال شده است.

منابع خبر:


[1] https://github.com/mastodon/mastodon/security/advisories/GHSA-3fjr-858r-92rw
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-23832
[3] https://www.bleepingcomputer.com/news/security/mastodon-vulnerability-allows-attackers-to-take-over…

کشف آسیب‌پذیری در iTop VPN

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-1195 و شدت متوسط (5.5) در نرم‌افزار ITopVpn کشف شده که طبق برررسی‌های صورت‌گرفته، در کتابخانه ITopVpnCallbackProcess.sys نرم‌افزار مولفه‌ای به نام IOCTL Handler وجود ‌دارد که مسئول مدیریت و کنترل درخواست‌های ورودی/خروجی (IOCTL) می‌باشد و دارای نقص و آسیب‌پذیری است. در صورت بهره‌برداری از این آسیب‌پذیری مهاجم می‌تواند منجر به اجرای حمله انکار سرویس(DoS) شود. همچنین مهاجم باید به سیستمی که نرم افزار iTop VPN بر روی آن نصب و اجرا می‌شود، دسترسی فیزیکی یا مستقیم داشته باشد. 
بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H) بهره‌برداری از طریق شبکه محلی امکان‌پذیر است (AV:L)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی بالا ندارد (PR:L)، به تعامل با کاربر نیز نیاز نیست (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از آن، یک ضلع از سه ضلع امنیت با شدت زیاد تحت تأثیر قرار می‌گیرد.

محصولات تحت تأثیر
iTop VPN تا نسخه 4.0.0.1  تحت تأثیر این نقص امنیتی است.

توصیه‌های امنیتی
به کاربران توصیه می‌شود به نسخه‌های بالاتر به‌روزرسانی کنند.
 

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-1195 

کشف آسیب‌پذیری در IBM Cloud Pak System

تاریخ ایجاد

IBM Cloud Pak System یک ابزار همه کاره IBM است که راه‌اندازی و مدیریت محیط‌های ابری خصوصی را برای انواع مختلف برنامه‌ها آسان می‌کند و اخیرأ یک آسیب‌پذیری با شناسه CVE-2023-38273 و شدت بالا (7.5) برای آن کشف شده است. طبق بررسی‌های صورت گرفته، سیستم IBM Cloud Pak دارای یک نقص امنیتی در تنظیمات قفل حساب خود است. این نقص به طور بالقوه می‌تواند از راه دور به مهاجم اجازه دهد تا به طور مکرر رمزهای عبور مختلف را امتحان کند تا زمانی که رمز عبور صحیح را پیدا کند، بدون آنکه مسدود یا قفل شود. به این نقص امنیتی در واقع همان حمله Brute Force می‌‌باشد.
بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) بهره‌برداری از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی پایین یا بالا ندارد (PR: N)، به تعامل با کاربر نیز نیاز نیست (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از آن، دو ضلع از سه ضلع امنیت با شدت زیاد تحت تأثیر قرار می‌گیرد.

محصولات تحت تأثیر
نسخه‌های 2.3.1.1 ، 2.3.2.0 و 2.3.3.7 این محصول، تحت تأثیر نقص‌ امنیتی مذکور قرار خواهند گرفت.

توصیه‌های امنیتی
به کاربران توصیه می‌شود IBM Cloud Pak System  را به آخرین نسخه منتشر شده، به‌روزرسانی کنند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2023-38273 

کشف آسیب‌پذیری در محصولات Dell

تاریخ ایجاد

Dell BSAFE مجموعه‌ای از کیت‌های توسعه نرم‌افزار (SDK) برای توسعه دهندگان جاوا و C می‌باشد تا امکان استفاده از رمزنگاری تأیید شده با FIPS 140 را در محصولات فراهم کنند. آسیب‌پذیری با شناسه CVE-2022-34381 و شدت بحرانی (9.1) ‌ برای Dell BSAFE  منتشرشده که درادامه به بررسی بیشتر جزئیات آن پرداخته شده است.
Dell BSAFE SSL-J و Dell BSAFE Crypto-J اجزای نرم‌افزار Dell BSAFE هستند که آسیب‌پذیر می‌باشند. مهاجم احرازهویت نشده از راه دور می‌تواند به طور بالقوه از این آسیب‌پذیری بهره‌برداری کند و کنترل یا دسترسی غیرمجاز را در سیستم دارای نقص امنتی، به‌دست بگیرد. بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) بهره‌برداری از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی پایین یا بالا ندارد (PR: N)، به تعامل با کاربر نیز نیاز نیست (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)و با بهره‌برداری از آن، دو ضلع از سه ضلع امنیت با شدت زیاد تحت تأثیر قرار می‌گیرد.

محصولات تحت تأثیر
•    برای Dell BSAFE SSL-J نسخه 7.0  و نسخه‌های قبل‌تر از نسخه 6.5 تحت تأثیر این آسیب‌پذیری هستند.
•    برای Dell BSAFE Crypto-J نسخه‌های قبل‌تر از نسخه 6.2.6.1 تحت تأثیر این آسیب‌پذیری هستند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود:
•    Dell BSAFE SSL-J را به نسخه 6.5 و 7.1 به‌روزرسانی کنند.
•    Dell BSAFE Crypto-J را به نسخه 6.2.6.1 و 7.0 به‌روزرسانی کنند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2022-34381

کشف آسیب‌پذیری در cURL

تاریخ ایجاد

cURL یک نرم‌فزار کامپیوتری است که به شما این امکان را می‌دهد تا داده‌ها را بین دستگاه خود و سرور از طریق یک رابط خط فرمان (CLI) با استفاده از پروتکل‌های مختلف شبکه، مبادله کنید. به تازگی یک آسیب‌پذیری با شناسه CVE-2024-0853 برای این افزونه کشف شده که طبق بررسی‌های انجام‌شده این نقص امنیتی در curl ، SSL Session ID Cache وجود دارد که برخی از اطلاعات مربوط به اتصال امن را در حافظه پنهان خود ذخیره می‌کند. آزمایشی به نام OCSP stapling وجود دارد که یک بررسی امنیتی است؛ اگر این آزمایش در طول تلاش برای اتصال ناموفق باشد، اتصال را به عنوان ناامن علامت‌گذاری می‌کند. به دلیل وجود نقص در برنامه‌نویسیcurl ، اطلاعات ذخیره شده session ID را حتی زمانی که بررسی امنیتی با شکست مواجه می‌شود، نگه می‌دارد. اگر مهاجمی بلافاصله پس از تلاش ناموفق دوباره به همان وب‌سایت متصل شود، curl ممکن است از بررسی امنیتی صرف‌نظر کند زیرا به حافظه پنهان session ID جدید متکی است. این نقص در curl زمانی رخ می‌دهد که از OpenSSL و TLS 1.2 استفاده می‌شود.

محصولات تحت تأثیر
curl  نسخه 8.5.0 تحت تأثیر این نقص امنیتی قراردارد.

توصیه‌های امنیتی
•    به کاربران توصیه می‌شود این محصول را به نسخه 8.6.0 یا بالاتر به‌روزرسانی کنند.
•    از TLS 1.2 جهت نقل و انتقالات اطلاعات خود استفاده نکنید.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-0853 

کشف آسیب‌پذیری بحرانی در Mailcow

تاریخ ایجاد

به ‌تازگی یک آسیب‌پذیری بحرانی با شناسه  CVE-2024-24760 و شدت  8.8 درMailcow  کشف شده است. این آسیب پذیری به مهاجمان در همان ساب‌نت اجازه می‌دهد تا به پورت‌های Doker container متصل شوند حتی اگه دسترسی به آن‌ها به ip داخلی 127.0.0.1 محدود شده باشد.

محصولات تحت‌تأثیر
Mailcow نسخه‌های قبل از 2024-01c تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
Mailcow اکیدأ توصیه می‌کند که همه کاربران جهت اطمینان از حفظ امنیت سیستم خود،  این محصول را به آخرین نسخه منتشر شده ارتقاء دهند.
کاربرانی که فعلأ امکان اعمال به‌روزرسانی را ندارند، می‌توانند موارد iptables/nftables زیر را اعمال کنند:


•    Iptables:

iptables -I DOCKER-USER ! -i br-mailcow -o br-mailcow -p tcp -m multiport --dport 3306,6379,8983,12345 -j DROP

•    nftables:

nft insert rule ip "filter" "DOCKER-USER" iifname != "br-mailcow" oifname "br-mailcow" tcp dport {3306, 6379, 8983, 12345} counter packets 0 bytes 0 drop


منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-24760