فعال شدن آسیب‌پذیری‌های قدیمی به دلیل شکاف امنیتی در به‌روز‌رسانی‌های ویندوز

تاریخ ایجاد

مایکروسافت اعلام کرده است که در حال توسعه به‌روزرسانی‌های امنیتی برای رفع دو آسیب‌پذیری روز صفر(Zero-Day)  است که می‌تواند برای اجرای حملات کاهش سطح (Downgrade Attack) علیه به‌روزرسانی ویندوز مورد بهره‌برداری  قرار گیرد. این نقص‌ها می‌توانند نسخه‌های فعلی فایل‌های سیستم‌عامل را با نسخه‌های قدیمی‌تر جایگزین کنند و این حمله که "Windows Downdate" نام گرفته می‌تواند سیستم‌های ویندوز را از حالت به‌روز خارج کرده و آسیب‌پذیری‌های قدیمی را به آن‌ها بازگرداند.
جزئیات دو آسیب‌پذیری روز صفر ذکر شده به شرح زیر است:

  • آسیب‌پذیری با شناسه‌ی CVE-2024-38202 که با شدت بالا و شدت CVSS 7.3 شناسایی شده است، یک نقص امنیتی افزایش سطح دسترسی در فرایند به‌روزرسانی ویندوز است. این آسیب‌پذیری مهاجمی با دسترسی‌های کاربری پایه را قادر می‌سازد تا آسیب‌پذیری‌هایی که قبلاً رفع شده‌اند را دوباره فعال کند یا برخی از ویژگی‌های امنیتی مبتنی بر مجازی‌سازی (VBS) را دور بزند.

VBS(Virtualization-Based Security) یک ویژگی امنیتی پیشرفته در ویندوز است که از فناوری مجازی‌سازی برای ایجاد محیط‌های امن و جداگانه در حافظه‌ی سیستم استفاده می‌کند. این محیط‌ها برای حفاظت از کدهای حیاتی سیستم و ذخیره اطلاعات حساس مانند اعتبارنامه‌های کاربران طراحی شده‌اند. این اعتبارنامه‌ها شامل توکن‌های امنیتی، رمزهای عبور و اطلاعات احراز هویت و مجوزهای مربوط به کاربر می‌باشند.
در شرایط عادی، ویندوز به‌روزرسانی‌های جدید را دریافت و نصب می‌کند تا از جدیدترین قابلیت‌های امنیتی و رفع نقص‌های موجود بهره‌مند شود. اما این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا روند به‌روزرسانی را به گونه‌ای دستکاری کنند که به جای نصب نسخه‌های جدیدتر و امن‌تر، اجزای اصلی سیستم‌عامل به نسخه‌های قدیمی‌تر و آسیب‌پذیر بازگردانده شوند. در نتیجه، سیستم به‌روز به نظر می‌رسد، اما در واقع با آسیب‌پذیری‌های قدیمی و رفع‌نشده روبروست و بدین ترتیب ابزارهای بازیابی و اسکن نیز قادر به شناسایی این نقص نخواهند بود.
با این حال، مایکروسافت خاطرنشان کرده است که مهاجم برای بهره‌برداری از این نقص ابتدا باید یک مدیر سیستم یا کاربری با دسترسی‌های ویژه را متقاعد کند تا یک بازیابی سیستم انجام دهد که به‌طور ناخواسته این آسیب‌پذیری را فعال می‌کند.

  • آسیب‌پذیری با شناسه CVE-2024-21302 و شدت متوسط و شدت CVSS 6.7 که یک نقص افزایش سطح دسترسی در حالت هسته امن ویندوز (Windows Secure Kernel Mode) است. در سیستم‌های ویندوز که از VBS پشتیبانی می‌کنند، به مهاجم اجازه می‌دهد تا نسخه‌های فعلی فایل‌های سیستم ویندوز را با نسخه‌های قدیمی جایگزین کند. این نقص همچنین می‌تواند برای بازیابی مجدد نقص‌های امنیتی قبلاً وصله‌شده، دور زدن برخی ویژگی‌های VBS، و استخراج اطلاعات محافظت‌شده توسط VBS مورد استفاده قرار گیرد.

به گفته محققی که حمله‌ "Windows Downdate" را معرفی کرده است، این روش حمله می‌تواند یک سیستم ویندوز کاملاً به‌روز را در معرض هزاران آسیب‌پذیری قدیمی قرار دهد و عملاً مفهوم "کاملاً به‌روز" را برای هر سیستم ویندوزی در جهان بی‌معنی کند.
این شیوه می‌تواند فرآیند به‌روزرسانی ویندوز را به نحوی تحت کنترل درآورد که امکان کاهش سطح به‌روزرسانی‌ها به شکلی نامحسوس، پایدار و غیرقابل بازگشت در اجزای حساس سیستم‌عامل فراهم شود.

علاوه بر این، "Windows Downdate"  قادر است مراحل اجرای Trusted Installer را دور بزند، به طوری که امکان کاهش سطح به‌روزرسانی اجزای حساس سیستم‌عامل، از جمله کتابخانه‌های پیوند پویا (DLL)، درایورها، و هسته NT (New Technology Kernel)  را فراهم کند.
در Error! Reference source not found. دو پردازه که مسئول مدیریت و نصب بروزرسانی‌ها هستند مشاهده می‌شوند.Update Server Process  مسئول نهایی به‌روزرسانی فایل‌های حیاتی است که با فرمان‌پذیری از Trusted Installer به جریان می‌افتد. از طرفی Update Client Process  که تحت کنترل Administrator است، به طور مستقیم توان تغییر فایل‌های سیستم را ندارد و بیشتر به عنوان یک درخواست‌کننده عمل می‌کند. مهاجم با ارتقاء سطح دسترسی به Administrator می‌تواند فرایند Update Client Process  را کنترل کرده و از طریق راه ارتباطی COM (یک ارتباط بین پردازه‌ای) اجرای Trusted Installer را دور بزند و دستورات مخرب به‌روزرسانی فایل‌های سیستم را به Update Server Process ارسال کند. با بازگرداندن نسخه‌های آسیب‌پذیر قبلی این فایل‌ها، موفق می‌شود آسیب‌پذیری‌هایی که قبلاً برطرف شده‌اند را دوباره فعال کرده و امنیت سیستم را کاهش دهد.
در این حمله، سیستم‌عامل گزارش می‌دهد که سیستم کاملاً به‌روز است و همزمان از نصب به‌روزرسانی‌های جدید جلوگیری کرده و مانع شناسایی توسط ابزارهای بازیابی و اسکن می‌شود.
به گفته محققان، با توجه به این که ویژگی‌های VBS مایکروسافت در سال ۲۰۱۵ معرفی شد، امکان حمله‌ی "Windows Downdate"  تقریباً یک دهه است که وجود دارد.
 

محصولات تحت تاثیر
تمامی سیستم‌هایی که از ویندوز 10 و 11 استفاده می‌کنند، سرورهای ویندوزی ۲۰۱۶  و بالاتر و نسخه‌هایی از ماشین‌های مجازی Azure که از VBS پشتیبانی می‌کنند، در معرض خطر هستند.
 

توصیه‌های امنیتی
Microsoft توصیه‌های ذیل را برای کاهش خطرات مرتبط با این آسیب‌پذیری‌ها تا زمان انتشار به‌روزرسانی‌های امنیتی لازم ارائه داده است‌:

  • نظارت بر تلاش‌های دسترسی به فایل‌ها و عملیات‌هایی مانند ایجاد Handle‌ها، خواندن/نوشتن، یا تغییرات در پردازه‌های امنیتی با پیکربندی تنظیمات “Audit Object Access”.
  • نظارت بر استفاده از مجوزهای حساس با استفاده از ابزارهایی که برای شناسایی دسترسی‌ها و تغییرات در فایل‌های مرتبط با VBS و Backup طراحی شده‌اند.
  • بررسی گزارشات خطر با استفاده از Microsoft Entra ID Protection و Azure Active Directory و فعال کردن “احراز هویت چند مرحله‌ای” برای کاربران و مدیرانی که در معرض خطر هستند.

با توجه به اینکه هنوز هیچ گونه تلاشی برای بهره‌برداری از این آسیب‌پذیری‌ها گزارش نشده است، Microsoft به کاربران خود توصیه می‌کند تا با رعایت نکات امنیتی فوق و همچنین دنبال کردن به‌روزرسانی‌های آینده، از سیستم‌های خود محافظت کنند.
 

منابع خبر:


[1] https://thehackernews.com/2024/08/windows-downgrade-attack-risks-exposing.html
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21302
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38202

کشف آسیب‌پذیری بحرانی در افزونه Slider پلتفرم 10Web

تاریخ ایجاد

به تازگی یک آسیب‌‌‌پذیری بحرانی با شناسه CVE-2024-7150 و شدت 8.8 در افزونه Slider پلتفرم 10Web ابزار WordPress کشف شده است. این آسیب‌‌‌پذیری از نوع تزریق SQL مبتنی بر زمان و به دلیل نقص ورودی‌‌‌های کاربر و عدم آمادگی کوئری SQL کنونی می‌‌‌باشد و این امکان را به مهاجمان احراز هویت نشده دارای دسترسی در سطح مشارکت‌کننده و بالاتر می‌‌‌دهد تا به کوئری‌‌‌های موجود، کوئری‌‌‌های  SQL اضافه کنند و بدین وسیله اطلاعات حساس پایگاه داده را استخراج کنند.

محصولات تحت‌تأثیر
این آسیب‌‌‌پذیری تمامی نسخه‌ها تا نسخه 1.2.57 را تحت‌تأثیر قرار می‌‌‌دهد.

توصیه‌های امنیتی
این آسیب‌‌‌پذیری با ارتقای افزونه به نسخه 1.2.58 و بالاتر رفع می‌‌‌شود.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-7150

چندین آسیب‌پذیری اجرای کد دلخواه در مرورگر گوگل کروم

تاریخ ایجاد

چندین آسیب‌پذیری در مرورگر گوگل کروم شناسایی شده است که ممکن است به اجرای کد دلخواه منجر گردد. مهاجمان در صورت بهره‌برداری از این آسیب‌پذیری‌ها می‌توانند کد دلخواه خود را در سمت کاربر اجرا نموده و به داده‌ها دسترسی پیدا کند و یا تغییراتی غیرمجاز ایجاد نمایند. میزان آسیب، به سطح دسترسی‌های کاربر بستگی دارد و کاربر با سطح مدیریتی بالاتر، در معرض خطر بیشتری خواهد بود. اهم این آسیب‌‌پذیری‌های گزارش شده به صورت زیر است:
CVE-2024-7532: دسترسی به حافظه خارج از محدوده
CVE-2024-7533: استفاده پس از آزادسازی حافظه
CVE-2024-7550: سردرگمی نوع داده‌ها
CVE-2024-7534: بافر سرریز در حافظه

محصولات تحت تأثیر

  • نسخه‌های گوگل کروم قبل از 127.0.6533.99 در سیستم عامل‌های ویندوز، لینوکس و مک
     

توصیه‌های امنیتی

  • اعمال بروزرسانی به نسخه 127.0.6533.99 و بالاتر
  • مدیریت حساب‌های پیش‌فرض و محدود کردن حساب‌های مدیر
  • محدود کردن اجرای کد در یک محیط مجازی sandbox
  • محدود کردن استفاده از وب‌سایت‌های خاص و استفاده از خدمات فیلترینگ DNS filtering services و  مسدود کردن انواع فایل‌های غیرضروری
  • آموزش کارکنان در رابطه با خطرات لینک‌های مشکوک در ایمیل‌ها و شناسایی حملات مهندسی اجتماعی


منبع خبر:


 https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbit…

 

نقص امنیتی در نرم‌افزار مدیریت ایمیل Roundcube

تاریخ ایجاد

پژوهشگران امنیتی در نرم‌افزار مدیریت ایمیل Roundcube آسیب‌پذیری XSS کشف را نموده¬اند که به مهاجمان این امکان را می‌دهد تا با اجرای کدهای مخرب جاوا اسکریپت در مرورگر کاربران، اطلاعات حساسی از جمله ایمیل‌ها، لیست مخاطبین و گذرواژه‌ها را سرقت کنند. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجمان اجازه دهد بدون نیاز به احراز هویت، ایمیل‌ها و لیست مخاطبین قربانی را به سرقت برده و حتی از حساب آن¬ها برای ارسال ایمیل استفاده کنند. مهاجمان می‌توانند حتی پس از راه‌اندازی مجدد سیستم هم، به طور مداوم به مرورگر قربانی دسترسی پیدا کنند. سه آسیب‌پذیری امنیتی در Roundcube عبارتند از:

  • CVE-2024-42008: آسیب‌پذیری XSS که از طریق یک پیوست ایمیل مخرب که دارای یک هدر Content-Type خطرناک است به وجود می‌آید و فقط یک کلیک توسط قربانی برای اجرای این آسیب‌پذیری لازم است.
  • CVE-2024-42009: آسیب‌پذیری XSS که ناشی از پردازش پس از پاکسازی محتوای HTML می‌باشد و فقط مشاهده ایمیل توسط قربانی برای بهره‌برداری از این آسیب‌پذیری کافی است.
  • CVE-2024-42010: افشای اطلاعات که به دلیل فیلتر کردن ناکافی CSS به وجود می¬آید و برای بهره‌برداری از آن فقط مشاهده ایمیل کافی است.
     

محصولات تحت تأثیر
 نسخه‌های قبل از  1.6.8 و 1.5.8 نرم‌افزار  Roundcube Webmail آسیب‌پذیر هستند.

توصیه‌های امنیتی
 اعمال بروزرسانی نرم‌افزار Roundcube Webmail به نسخه‌های  1.6.8 و 1.5.8 توصیه می‌شود.
 

منبع خبر:


 https://thehackernews.com/2024/08/roundcube-webmail-flaws-allow-hackers.html

کشف آسیب‌پذیری بحرانی اجرای کد دلخواه در ابزار zabbix

تاریخ ایجاد

"Monitoring Hosts" بخشی از سیستم‌ نظارتی و مدیریت شبکه zabbix است که مسئولیت نظارت بر وضعیت سرورها، دستگاه‌ها، و سایر اجزای شبکه را برعهده دارد. این بخش معمولاً شامل مجموعه‌ای از ابزارها و قابلیت‌ها است که به مدیران شبکه امکان می‌دهد وضعیت سلامت، دسترس‌پذیری، تحلیل پارامترهای عملکردی دستگاه‌های مختلف در شبکه را به صورت  مداوم بررسی کنند در این راستا امکان اجرای اسکریپت‌ها و دستورات خاص برای انجام وظایف مدیریت و نگهداری مانند Ping کردن یک سرور برای بررسی وضعیت دسترسی فراهم شده است.
آسیب‌پذیری  CVE-2024-22116 با شدت 9.9  به بخش اجرای عملیات خودکار (Automated Actions) و مانیتورینگ دسترس‌پذیری و عملکرد (Remote Commands) در Zabbix  به ویژه در سناریوهایی که از اجرای اسکریپت‌ها برای انجام عملیات نظارتی و مدیریتی استفاده می‌شود مرتبط است و در صورتی که توسط یک مدیر با دسترسی محدود به صورت نادرست مورد استفاده قرار گیرد به مهاجم اجازه میدهد تا کدهای دلخواه خود را در زیرساخت‌های شبکه اجرا کند و کنترل کامل سیستم‌ها را بدست آورد یا اطلاعات حساس را سرقت کند. چگونگی وقوع آسیب‌پذیری به صورت زیر است:
1. ورود پارامترهای ناامن:  اگر در اجرای اسکریپت‌ها یا دستورات خودکار، پارامترها به درستی بررسی و تصحیح نشوند، کاربر مدیر با دسترسی محدود می‌تواند از این نقاط ضعف استفاده کرده و حین اجرای ping دستورات مخرب خود را وارد کند.
2. اجرا در سطح دسترسی بالا:  هر گاه دستور ping  در نسخه آسیب‌پذیر با سطح دسترسی مدیر محدود اجرا شود، مهاجم می‌تواند از این آسیب‌پذیری برای دسترسی به بخش‌های حساس سیستم، تغییر تنظیمات مهم و اجرای کدهای دلخواه خود در زیرساخت‌های شبکه استفاده کند.
3. نبود مکانیزم‌های امنیتی:  اگر Zabbix به درستی پیکربندی نشده باشد و مکانیزم‌های امنیتی مانند محدودیت‌های دسترسی، بررسی ورودی‌ها، و محدود کردن دسترسی به اجرای دستورات خاص وجود نداشته باشد، این آسیب‌پذیری می‌تواند توسط مهاجمان بهره‌برداری شود.

محصولات تحت تاثیر
تمامی نسخه‌های نرم‌افزار بین نسخه 6.4.0 تا 6.4.15 (شامل هر دو نسخه) تحت تأثیر این آسیب‌پذیری قرار دارند.
تمامی نسخه‌های نرم‌افزار بین alpha1  7.0.0 تا  rc2 7.0.0 (شامل هر دو نسخه) تحت تأثیر این آسیب‌پذیری قرار دارند. این نسخه‌ها شامل نسخه‌های آزمایشی اولیه (alpha) و نسخه‌های کاندیدای انتشار (rc) می‌شوند.
بسیاری از ابزارهای مانیتورینگ که قابلیت‌های "Monitoring Hosts" و اجرای اسکریپت‌های خودکار را دارند در صورت نبود مکانیزم‌های امنیتی مناسب ممکن است در معرض آسیب‌پذیری‌های مشابه CVE-2024-22116 قرار گیرند.

توصیه‌های امنیتی
ایمن‌سازی ورودی‌ها:  ورودی‌های کاربران در هر قسمتی که کاربران دستوراتی را اجرا می کنند بررسی و فیلتر گردند تا از ورود دستورات مخرب توسط مهاجم جلوگیری شود.
محدود کردن دسترسی: دسترسی به قابلیت اجرای عملیات خودکار و کدها به کاربرانی با دسترسی‌های محدود داده شود.
به‌روز رسانی امنیتی: نرم‌افزار به نسخه‌های ایمن بروزرسانی گردد. نسخه rc1  6.4.16 و تمامی نسخه‌های بعد از آن در شاخه 6.4 ، همچنین نسخه rc3 7.0.0 و تمام نسخه‌های بعد از آن تحت تأثیر این آسیب‌پذیری قرار ندارند.
 

منابع خبر:

[1] https://www.cve.org/CVERecord?id=CVE-2024-22116
[2] https://support.zabbix.com/browse/ZBX-25003

کشف آسیب‌پذیری بحرانی در سرویس Soft AP Daemon

تاریخ ایجاد

به تازگی یک آسیب‌پذیری بحرانی با شناسه CVE-2024-42393 و شدت 9.8 در سرویس Soft AP Daemon  کشف شده است. این آسیب‌پذیری بدین صورت است که اجازه می‌دهد تا یک حمله اجرای کد از راه دور (RCE) احراز هویت نشده انجام گیرد. این آسیب‌پذیری می‌تواند توسط مهاجم به منظور اجرای دستورات دلخواه بر روی سیستم‌عامل زیربنایی مورد بهره‌برداری قرار گیرد، که به طور بالقوه منجر به خطر افتادن کامل سیستم می‌شود.

محصولات تحت‌تأثیر
آسیب‌پذیری مذکور تمامی محصولاتی که از سرویس Soft AP Daemon استفاده می‌کنند را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
هنوز راه‌حلی برای این آسیب‌پذیری ارائه نشده است اما می‌توان جهت جلوگیری از بهره‌برداری توسط مهاجمان، اقدامات زیر را انجام داد:
1. اعمال به‌روزرسانی‌های امنیتی منتشر شده توسط Soft AP Daemon.
2. در صورت امکان، محدود و یا غیرفعال کردن دسترسی به سرویس Soft AP Daemon Service تا زمانی که یک وصله امنیتی در دسترس نباشد.
3. افزایش نظارت بر هرگونه فعالیت مشکوک مربوط به سرویس Soft AP Daemon.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-42393

کشف آسیب‌پذیری در چند افزونه‌ وردپرس

تاریخ ایجاد

افزونه LearnPress یکی از افزونه‌های سیستم مدیریت محتوای وردپرس است که برای ایجاد و مدیریت دوره‌های آموزشی آنلای ، آزمون‌ها و گواهینامه‌ها  استفاده می‌شود. نسخه‌ی 4.2.6.9.3 این افزونه و تمام نسخه‌های قبل از آن به دلیل عدم پاکسازی کافی پارامتر order، تحت تاثیر آسیب‌پذیری تزریق SQL مبتنی بر زمان با شناسه CVE-2024-7548 و شدت 8.8 قرار دارند.
پارامتر order جهت مرتب‌سازی پست‌ها بر اساس تاریخ و عنوان یا نمایش نتایج فیلترهای جستجو به صورت صعودی یا نزولی توسط کاربر وارد می‌شود. این آسیب‌پذیری تنها برای کاربران احراز هویت‌شده‌ای که حداقل دسترسی سطح Contributor (مشارکت‌کننده) یا بالاتر دارند، قابل بهره‌برداری است. در وردپرس کاربران با سطح دسترسی مشارکت کننده امکان انتشار پست و دسترسی به تنظیمات سایت را ندارند اما مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند از طریق دستکاری پارامتر order کوئری‌های مخرب SQL را به پایگاه داده ارسال کند و اطلاعات حساس را استخراج نموده یا دستورات مخرب را اجرا کند.

?orderby=date&order=asc
?orderby=title&order=desc

یک آسیب‌پذیری بحرانی دیگر با شناسه CVE-2024-7350 و شدت 9.8 در افزونه BookingPress وردپرس کشف شده است. این آسیب‌پذیری از نوع دور زدن احراز هویت و به دلیل احراز هویت نادرست این افزونه هنگام تکمیل فرایند رزرو می‌باشد و این امکان را به مهاجمان احراز هویت نشده می‌دهد تا به عنوان کاربران احراز هویت‌شده (از جمله ادمین) در صورتی که به ایمیل ایشان دسترسی داشته باشند وارد سیستم شوند. این بهره‌برداری تنها در صورتی ممکن است که گزینه "Auto login user after successful booking" فعال باشد.

آسیب‌پذیری بحرانی دیگری با شناسه CVE-2024-7492 و شدت 8.8 در افزونه MainWP Child Reports وردپرس کشف شده است. این آسیب‌پذیری از نوع جعل درخواست میان سایتی و به دلیل عدم اعتبارسنجی یا اعتبارسنجی نادرست عدد یک‌بارمصرف (nonce) در تابع network_options_action() می‌باشد و امکان به‌روزرسانی تنظیمات دلخواه را به مهاجمان احراز هویت نشده می‌دهد. این امر می‌‌تواند منجر به ارتقاء سطح دسترسی مهاجم از طریق درخواست جعلی ارسال‌شده برای یکی از ادمین‌های سایت شود.

محصولات تحت تاثیر
در شناسه CVE-2024-7548: نسخه‌ی 4.2.6.9.3 و تمام نسخه های قبل از آن

در شناسه CVE-2024-7350: نسخه‌های 1.1.6 تا 1.1.7

در شناسه CVE-2024-7492: این آسیب‌‌پذیری تمامی نسخه‌ها تا نسخه 2.2 را تحت‌تأثیر قرار می‌دهد و تنها در نمونه‌‌های چندسایتی (multisite) قابل بهره‌‌برداری است.

توصیه‌های امنیتی
در شناسه CVE-2024-7548:  به کاربران توصیه می‌شود افزونه را به نسخه 4.2.6.9.4  به‌روزرسانی کنند.

در شناسه CVE-2024-7350: آسیب‌پذیری ذکر شده با ارتقاء افزونه به نسخه 1.1.8 و بالاتر رفع می‌شود.

در شناسه CVE-2024-7492: این آسیب‌پذیری با ارتقاء افزونه به نسخه 2.2.1 و بالاتر رفع می‌شود.
 

منابع خبر:

 

[1] https://www.cve.org/CVERecord?id=CVE-2024-7548

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-7350

[3] https://nvd.nist.gov/vuln/detail/CVE-2024-7492

آسیب‌پذیری بحرانی اجرای کد دلخواه در نرم‌افزار kibana

تاریخ ایجاد

Kibana نرم‌افزاری پرکاربرد و متن‌باز برای بصری‌سازی (Visualization)، ساخت داشبورد مدیریتی و تجزیه و تحلیل داده‌ها می‌باشد. اخیرا یک آسیب‌پذیری بحرانی با شناسه CVE-2024-37287 و شدت 9.9  در این نرم‌افزار شناسایی شده است که می‌تواند به مهاجمان اجازه دهد تا کدهای دلخواه خود را اجرا کنند.
مهاجمان با دسترسی به ویژگی‌های رابط یادگیری ماشین (ML) و Alerting و همچنین دسترسی نوشتن به ویژگی‌های داخلی ML  می‌توانند پس از دسترسی اولیه، کد دلخواه را اجرا نمایند. این مشکل در هنگام نصب Kibana به صورت خود مدیریتی (Self-Managed) در سیستم‌عامل میزبان بروز می‌کند.

محصولات تحت تأثیر

  • نسخه‌های Kibana   ‌که به صورت مستقل روی سیستم‌عامل‌های میزبان نصب و اجرا می‌شوند.
  • نسخه‌های Kibana که به صورت خودمدیریتی و از طریق Docker  اجرا می‌شوند.
  • نسخه‌های  8.x از Kibana که قبل از نسخه 8.14.2 منتشر شده‌اند و نسخه‌های .x7 از Kibana که قبل از نسخه 7.17.23 منتشر شده‌اند، تحت تاثیر این آسیب‌پذیری قرار دارند.


توصیه‌های امنیتی

  • لازم است فورا Kibana به نسخه‌های جدید  8.14.2 یا 7.17.23 بروزرسانی گردد.


منبع خبر:


https://cybersecuritynews.com/critical-kibana-vulnerability/

رفع آسیب‌پذیری روز صفر در هسته سیستم‌عامل اندروید

تاریخ ایجاد

آسیب‌پذیری روز صفر با شناسه  CVE-2024-36971 در هسته (Kernel) سیستم‌عامل لینوکس یک نقص امنیتی استفاده پس از آزادسازی Use-After-Free  یا UAF در مدیریت مسیرهای شبکه هسته لینوکس است. مهاجمان با استفاده از این نقص می‌توانند رفتار شبکه را به گونه‌ای تغییر دهند که به نفع خودشان باشد اما برای بهره‌برداری از این آسیب‌پذیری باید سطح دسترسی بالایی داشته باشند.
گوگل اعلام کرده است نشانه‌هایی وجود دارد که آسیب‌پذیری با تحت تاثیر قراردادن هسته سیستم‌عامل اندروید، ممکن است به مهاجمان امکان اجرای کد دلخواه و راه دور (RCE) بدون نیاز به تعامل کاربر در دستگاه‌هایی که آخرین بروزرسانی‌های امنیتی را دریافت نکرده‌اند، بدهد.

محصولات تحت تأثیر

  • دستگاه‌های‌ ‌Google Pixel و دستگاه‌های دیگر اندروید تحت تاثیر این آسیب‌پذیری قرار دارند.


توصیه‌های امنیتی

  • اعمال بروزرسانی: اطمینان حاصل شود که دستگاه اندروید به آخرین وصله‌های امنیتی بروزرسانی شده باشد. گوگل دو مجموعه وصله 2024-08-01 و 2024-08-05 را منتشر کرده است.
     

منبع خبر:


https://www.bleepingcomputer.com/news/security/google-fixes-android-kernel-zero-day-exploited-in-ta…

هدف قرار گرفتن متخصصان IT با بدافزار SharpRhino

تاریخ ایجاد

گروه باج‌افزاری Hunters International، با استفاده از بدافزار جدیدی به نام SharpRhino، که یک تروجان دسترسی از راه دور(RAT) نوشته‌شده به زبان C# است، متخصصان فناوری اطلاعات را هدف قرار داده تا به شبکه‌های سازمانی نفوذ کند. این بدافزار به گروه مهاجم کمک می‌کند تا ابتدا وارد سیستم‌های هدف شده، سپس با افزایش دسترسی خود، فرمان‌های PowerShell را اجرا کرده و در نهایت payload باج‌افزار را پیاده‌سازی کند.
محققان گزارش داده‌اند که SharpRhino از طریق یک سایت فیشینگ که یک نمونه‌ی جعلی از وب‌سایت ابزار معتبر اسکن IP به نام Angry IP Scanner است، توزیع می‌شود. این سایت جعلی با استفاده از روش Typosquatting ساخته شده است. Typosquatting به معنی استفاده از نام دامنه‌های جعلی است که با یک خطای تایپی کوچک مشابه دامنه‌های معتبر به نظر می‌رسند. این گروه، در مدت زمان کوتاهی از زمان راه‌اندازی خود، موفق به اجرای چندین حمله‌ی سایبری به تعداد قابل‌توجهی از شرکت‌های مطرح و مهم شده ‌است.
فرآیند انتشار و عملکرد SharpRhino بدین صورت است که بدافزار به ‌عنوان یک نصب‌کننده ۳۲ بیتی با امضای دیجیتال “ipscan-3.9.1-setup.exe” توزیع می‌شود که حاوی یک آرشیو 7z رمزگذاری‌شده است. آرشیو 7z یک فرمت فایل فشرده است. وقتی یک آرشیو 7z رمزگذاری می‌شود، محتوای فایل‌های درون آن با استفاده از یک الگوریتم رمزنگاری (معمولاً AES-256) محافظت می‌شود و بدون داشتن رمز عبور صحیح، دسترسی به محتوای فایل‌ها غیرممکن خواهد بود. مهاجمان از آرشیوهای 7z رمزگذاری‌ شده به عنوان یک روش برای پنهان‌سازی فایل‌های مخرب استفاده می‌کنند. با قراردادن آرشیو در یک نصب‌کننده یا ابزار جعلی، وقتی کاربر فایل نصب را اجرا می‌کند، فایل‌های مخرب  به‌طور مخفیانه و خودکار روی سیستم قربانی اجرا می‌شود و همین ‌مسئله کار را برای نرم‌افزارهای امنیتی و شناسایی تهدید دشوار می‌سازد.
نصب‌کننده “ipscan-3.9.1-setup.exe” برای حفظ دسترسی دائمی، رجیستری ویندوز را تغییر می‌دهد و یک میانبر برای فایل Microsoft.AnyKey.exe ایجاد می‌کند. این فایل که در حالت عادی متعلق به Microsoft Visual Studio است، در این حمله برای اهداف مخرب مورد استفاده قرار می‌گیرد.
علاوه بر این، “ipscan-3.9.1-setup.exe” از فایل‌های دیگری از جمله “LogUpdate.bat” برای اجرای کدهای مخرب به ‌صورت مخفیانه استفاده کرده و از طریق دو دایرکتوری “C:\ProgramData\Microsoft:WindowsUpdater24” و  “C:\ProgramData\Microsoft:LogUpdateWindows” و دو دستور سخت‌کد شده‌ی delay و exit برای ارتباط با سرور عملیات و فرمان (C2) و تنظیم زمان‌بندی درخواست‌های POST بعدی و خاتمه دادن به ارتباط با سرور C2 استفاده می‌کند.
گروهی که بدافزار را کشف کردند، برای امتحان، با استفاده از SharpRhino و اجرای دستورات PowerShell به راحتی توانستند ماشین حساب ویندوز را اجرا و از آن استفاده کنند که نشان‌دهنده‌ی این است که مهاجمان با نصب موفقیت‌آمیز این تروجان، خواهند توانست بسته به سطح دسترسی بدست آمده، کنترل کامل سیستم هدف را بدست بگیرند.

محصولات تحت تاثیر
این بدافزار به‌طور عمده بر روی کارمندان بخش فناوری اطلاعات (IT) متمرکز است، زیرا این افراد دسترسی‌های بالایی به شبکه‌های سازمانی و اطلاعات حساس دارند. بنابراین SharpRhino تهدیدی جدی برای سازمان‌هایی است که در آن‌ها دستیابی به اطلاعات حساس و سطح بالایی از نفوذ به شبکه‌ها می‌تواند تأثیرات گسترده و مخرب داشته باشد.

توصیه‌های امنیتی
با توجه به حملات پیچیده و استفاده از تکنیک‌های جدید، توصیه می‌شود که کاربران و سازمان‌ها دقت بیشتری در دانلود نرم‌افزارها از منابع غیررسمی داشته باشند. همچنین باید اقدامات امنیتی مانند تقسیم‌بندی شبکه، بروزرسانی نرم‌افزارها و ایجاد برنامه‌های پشتیبان‌گیری را به‌منظور کاهش احتمال دسترسی و حرکت جانبی مهاجمان، در نظر بگیرند.
فعال‌سازی مسدودکننده‌های تبلیغات و برخورد محتاطانه دربرابر تبلیغات مخرب (Malvertising) و اجتناب از کلیک روی نتایج جستجوی تبلیغاتی نیز از اهمیت بالایی برخوردار است.
 

منبع خبر:


https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-gang-targets-it-wor…