یک آسیب‌پذیری امنیتی در Confluence با شناسه CVE-2023-22527 و شدت بحرانی (10) در نسخه‌های قدیمی از محصول Confluence Data Center و Confluence Data Server شناسایی شده است و به مهاجم اجازه می‌دهد که بدون نیاز به احراز هویت بتواند کد مخرب دلخواه خود را در این محصولات آسیب‌پذیر اجرا کند.

محصولات تحت تأثیر
لیست محصولات آسیب‌پذیر Confluence در جدول زیر مشخص شده است.
 

توصیه‌های امنیتی
در صورت استفاده از نسخه‌های قدیمی Confluence، باید به‌سرعت نرم‌افزار را به آخرین نسخه وصله‌شده، به‌روزرسانی کنید.
 

منبع خبر:

https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in…

یک آسیب‌پذیری امنیتی در محصولات VMware با شناسه CVE-2023-34063 و شدت بحرانی (9.8) شناسایی شده است. این آسیب‌پذیری به دلیل نبود مکانیزم کنترل دسترسی قوی در منابع اطلاعاتی ایجاد شده است و در محصول Aria Automationمی‌تواند منجر به دسترسی غیرمجاز به اطلاعات سازمان‌ها و گردش‌های کاری آن‌ها توسط مهاجمان شود.

محصولات تحت تأثیر
لیست محصولات آسیب‌پذیر شامل موارد زیر است:

•    VMware Aria Automation (formerly vRealize Automation) 
•    VMware Cloud Foundation (Aria Automation)

توصیه‌های امنیتی
برای رفع این آسیب‌پذیری، شرکت VMware وصله‌های امنیتی منتشر کرده است. کاربران و مدیران سیستم باید این به‌روزرسانی‌های مندرج در جدول فوق را به سرعت اعمال کنند تا از خطرات احتمالی ناشی از این آسیب‌پذیری جلوگیری نمایند.
 
منبع خبر:

https://www.vmware.com/security/advisories/VMSA-2024-0001.html

محققان امنیت سایبری اخیراً یک نقص امنیتی را در مرورگر وب Opera برای سیستم‌عامل ویندوز و macOS کشف کردند. این نقص که به نام MyFlaw شناخته می‌شود، با بهره‌برداری از ویژگی "My Flow"، امکان همگام‌سازی پیام‌ها و فایل‌ها را بین دستگاه‌های تلفن‌همراه و دسکتاپ برای مهاجم فراهم می‌کند. این آسیب‌پذیری اجرای کد از راه دور را ممکن کرده و امکان اجرای هر فایلی را در سیستم‌عامل اصلی میسر می‌سازد. این نقص از یک افزونه مرورگر کنترل‌شده برای دور زدنsandbox  مرورگر و هر فرآیند امنیتی، استفاده می‌کند.
ویژگی My Flow برای تبادل اطلاعات و فایل‌ها با رابطی شبیه به چت طراحی شده است و به وسیله آن می‌توان فایل‌ها را از طریق یک رابط وب باز کرد و به آنها اجازه داد به طور بالقوه خارج از مرزهای امنیتی مرورگر، اجرا شوند.
My Flow از قبل در مرورگر نصب شده ‌است و برای همگام‌سازی با نسخه تلفن‌همراه، به یک افزونه داخلی به نام "Opera Touch Background" متکی ‌است. این افزونه دارای فایلmanifest  خاص خود است که مجوزها و دسترسی‌ها را مشخص می‌کند، از جمله ویژگی externally_connectable، اتصالات به صفحات وب و برنامه‌های افزودنی دیگر.
فرآیند حمله شامل ایجاد یک افزونه فریبنده است که به عنوان رابط دستگاه تلفن همراه ظاهر می‌شود. این افزونه با رایانه قربانی جفت می‌شود و یک دیتای مخرب رمزگذاری شده را از طریق فایل جاوا اسکریپت ارسال می‌کند. سپس حمله با درخواست از سمت کاربر برای کلیک کردن در هر نقطه از صفحه اجرا می‌شود.

توصیه‌های امنیتی
به کاربران توصیه می‌شود برای کاهش خطرات احتمالی امنیتی، مرورگرهای خود را به آخرین نسخه وصله‌شده به‌روزرسانی کنند و همچنین غیرفعال کردن دسترسی غیرضروری افزونه‌ها را در اقدامات امنیتی خود قرار دهند.

منبع خبر:

[1] https://thehackernews.com/2024/01/opera-myflaw-bug-could-let-hackers-run.html?m=1

آسیب‌پذیری با شناسه CVE-2023-47024 و شدت بالا (8.8) در  NCR امکان Cross-Site Request Forgery (CSRF) را برای مهاجم احرازهویت شده از راه دور فراهم می‌آورد. مهاجم از طریق مهندسی اجتماعی (مانند ارسال پیوند از طریق ایمیل یا چت) کاربران را فریب می‌دهد تا اقدامات لازم جهت اجرای CSRF را انجام دهد. بهره‌برداری از این آسیب‌پذیری منجر به ارتقاء سطح دسترسی، تصاحب حساب کاربران، افزودن حساب کاربری جدید و به‌دست آوردن اطلاعات حساس می‌گردد. این امر ناشی از کنترل‌های امنیتی ضعیف در یک تابع نامشخص در  WSDL است. همچنین تمام نقاط پایانی (endpoints) در WSDL در برابر CSRF آسیب‌پذیر هستند.

محصولات تحت تأثیر
این آسیب‌پذیری محصول NCR Terminal Handler  نسخه 1.5.1 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود در اسرع وقت نسبت به استفاده از راهکارهای پیشگیرانه از حملات CSRF مانند استفاده از توکن CSRF در درخواست‌ها اقدام شود.
 

منابع خبر:

[1] https://github.com/Patrick0x41/Security-Advisories/tree/main/CVE-2023-47024
[2] https://docs.google.com/document/d/18EOsFghBsAme0b3Obur8Oc6h5xV9zUCNKyQLw5ERs9Q/edit?usp=sharing

نرم‌افزار Armoury Crate که مربوط به دستگاه‌های شرکت Asus می‌باشد، امکان دریافت و به‌روزرسانی درایورها و برنامه‌های کاربردی مادربرد را فراهم می‌اورد. این نرم‌افزار برای انجام تنظیمات نورپردازی دستگاه و عملکردهای مختلف دیگر نیز کاربرد دارد. لپ‌تاپ‌های سری ROG یا TUF از بین دستگاه‌های Asus قادر به دریافت این برنامه هستند و شایان ذکر است که سطح دسترسی این برنامه به سخت افزار، حافظه و دیگر قسمت‌های حساس دستگاه بسیار بالا می‌باشد. یک آسیب‌پذیری با امکان نوشتن در فایل دلخواه (arbitrary file write)  با شناسه CVE-2023-5716 و امتیاز CVSS 9.8 در این نرم‌افزار کشف شده ‌است که از راه دور به مهاجم امکان دسترسی به فایل‌های گوناگون و تغییر و دستکاری آن‌ها بدون هرگونه مجوزی را از طریق ارسال درخواست‌های HTTP می‌دهد.

محصولات تحت تأثیر
نسخه Armoury Crate V4.0.1.3 آسیب‌پذیر می‌باشد.

توصیه‌های امنیتی 
به کاربران توصیه می‌شود جهت رفع آسیب‌پذیری مذکور، هر چه سریع‌تر نرم‌افزار خود را به نسخه‌ی Armoury Crate V4.0.1.8 ارتقاء دهند.
 
منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-5716 
[2] https://www.twcert.org.tw/tw/cp-132-7666-fffce-1.html 

یک آسیب‌پذیری با شناسه CVE-2024-0200 و شدت CVSS score: 7.2 در سرور GitHub Enterprise کشف شده است که به مهاجمان دسترسی غیرمجاز و اجرای کد از راه دور را می‌دهد. برای بهره‌برداری از این نقص امنیتی، یک مهاجم باید به حسابی با نقش مالک سازمان(سطح دسترسی خیلی بالا) به حساب کاربری خود وارد شود. بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:L/A:L) بهره‌برداری از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، نیازمند پیش‌زمینه‌ای نمی‌باشد و‌ و به‌راحتی قابل تکرار است (AC:H)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی بالا دارد (PR:H)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C) و با بهره‌برداری از آن، یک ضلع از سه ضلع امنیت با شدت زیادی تحت تأثیر قرار می‌گیرند.

محصولات تحت تأثیر
این آسیب‌پذیری تمامی نسخه‌های قبل از 3.12 سرور GitHub Enterprise را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
GitHub این نقص امنیتی را در نسخه‌های 3.8.13, 3.9.8, 3.10.5 و 3.11.3 سرور GitHub Enterprise رفع کرده‌است و اعمال سریع وصله‌های امنیتی جهت کاهش مخاطرات احتمالی، بسیار مهم می‌باشد.

منبع خبر:

https://thehackernews.com/2024/01/github-rotates-keys-after-high-severity.html?m=1 

آسیب‌پذیری با شناسه CVE-2024-21733 و شدت بالا در  Apache Tomcatامکان افشای اطلاعات حساس در پیغام خطای دریافتی را برای مهاجم فراهم می‌کند. در این آسیب‌پذیری با ارسال درخواست‌های ناقص از طریق متد POST، پاسخ‌هایی همراه با خطا دریافت می‌شود که این پاسخ‌ها می‌تواند حاوی داده‌های درخواست قبلی کاربری دیگر باشد و اطلاعات درخواست او را افشا کند.

محصولات تحت تأثیر
این آسیب‌پذیری محصول Apache Tomcat نسخه 8.5.7 تا 8.5.63 و نسخه 9.0.0-M11 تا 9.0.43 را تحت تآثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء  Apache Tomcatبه نسخه‌ 9.0.44 یا بالاتر و نسخه 8.5.64 یا بالاتر اقدام نمایند.
 

منبع خبر:

https://lists.apache.org/thread/h9bjqdd0odj6lhs2o96qgowcc6hb0cfz

دو آسیب‌پذیری  با شدت بالا به شرح زیر در کرنل لینوکس کشف شده است.

•    آسیب‌پذیری با شناسه CVE-2024-0562:
این آسیب‌پذیری که شدت CVSS 7.8 را به خود اختصاص داده ‌است، یک آسیب‌پذیری use-after-free است. هنگامی که یک حافظه دیسک برداشته می‌شود، تابع bdi_unregister فراخوانی می‌شود تا بازنویسی بیشتر را متوقف کند و منتظر می‌ماند تا کارهای تاخیری مرتبط تکمیل شوند. با این حال، تابع wb_inode_writeback_end ممکن است کار تخمین پهنای باند را پس از تکمیل توقف بازنویسی زمان‌بندی کند که این امر می‌تواند منجر به دسترسی تایمر به فضای bdi_writeback که از قبل آزاد شده ‌بود شود.
«write back» اطلاعات اضافه را از کش صفحه‌ی دیسک‌ها(معروف به حافظه پنهان دیسک) پاک می‌کند. کش صفحه، کش اصلی دیسک است که توسط کرنل استفاده می‌شود. Bdi_writeback به معنای فضای پاک شده از اطلاعات اضافه دستگاه است. 

•    آسیب‌پذیری با شناسه CVE-2024-0565:
این آسیب‌پذیری مربوط به خواندن خارج از محدوده حافظه( out-of-bounds memory read ) و دارای شدت 7.1 می‌باشد که در قسمت receive_encrypted_standard فایل fs/smb/client/smb2ops.c در جزء فرعی SMB Client در هسته لینوکس کشف شده است. SMB یک فایل شبکه و پروتکل به اشتراک‌گذاری منابع است که از مدل مشتری-سرور استفاده می کند. کلاینت‌های SMB، مانند رایانه‌های شخصی در یک شبکه برای دسترسی به منابعی مانند فایل‌ها و فهرست‌ها یا انجام کارهایی مانند چاپ از طریق شبکه به سرورهای SMB متصل می‌شوند. این نقص امنیتی به دلیل زیر جریان اعداد صحیح(integer) در کتابخانه memcpy رخ می‌دهد که منجر به حمله انکار سرویس می‌شود. کتابخانه memcpy، به عنوان سریع‌ترین کتابخانه‌ی زبان C برای انجام عملیات کپی از حافظه به حافظه شناخته می‌شود.

محصولات تحت تأثیر
•    CVE-2024-0562: تمام نسخه‌های قبل از Red Hat Linux Kernel 8.6 آسیب‌پذیری می‌باشند و وصله‌ای برای آن‌ها معرفی و اعمال نشده‌است.
•    CVE-2024-0565: تمام نسخه‌های Red Hat Linux Kernel 6, 7, 8, 9 را تهدید می‌کند.

 
منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-0562 
[2] https://access.redhat.com/security/cve/CVE-2024-0562 
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-0565 
[4] https://access.redhat.com/security/cve/CVE-2024-0565 

بیش از 7100 سایت وردپرس که نسخه آسیب‌پذیر افزونه Popup Builder را نصب نموده‌اند در معرض خطر بدافزار Balada Injector قرار دارند. این حملات ناشی از نقص موجود در نسخه‌های قبل از 4.2.3 افزونه Popup Builder (با بیش از 200000 مرتبه نصب فعال) می‌باشد. این آسیب‌پذیری با شناسه CVE-2023-6000 و شدت بالا (8.8) تزریق جاوا اسکریپت Stored XSS را برای مهاجم احراز هویت‌نشده فراهم می‌سازد و وی می‌تواند هر اقدامی را که مدیر سایت (logged‑in administrator) اجازه انجام آن را دارد، انجام دهد. درج یک فایل جاوا اسکریپت مخرب که در specialcraftbox[.]com میزبانی می‌شود، می‌تواند منجر به کنترل وب‌سایت و بارگیری جاوااسکریپت اضافی به منظور تغییر مسیرهای مخرب شود. از خطرات موجود درBalada Injector ، بارگذاری backdoorهای نصب افزونه‌‌های مخرب، ایجاد کاربران با دسترسی Administrator جدید و کنترل دائمی بر روی وب‌سایت‌های در معرض خطر است.
اگر مرورگر administrators اسکریپتی را بارگیری کند که بتواند فعالیت مدیر را شبیه‌سازی کند، هر اقدامی را که مدیر از طریق رابط مدیریت وردپرس (WordPress admin interface) قادر به انجام آن باشد، مهاجم می‌تواند آن را انجام دهد. همچنین مهاجم می‌تواند سطح دسترسی خود را ارتقاء دهد و با نصب و فعال کردن یک افزونه‌ backdoor (wp-felody.php  یا  Wp Felody)، پی‌لود(payload)second-stage  را برای دامنه مذکور اجرا کند. پی‌لود، backdoor دیگری، به‌نام "sasas" می‌باشد که پس از ذخیره شدن در دایرکتوری که فایل‌های موقت در آن ذخیره می‌شوند، اجرا شده و سپس از دیسک حذف می‌شود. 
در نهایت مهاجم با بررسی سه سطح بالاتر از دایرکتوری فعلی، به‌دنبال دایرکتوری ریشه سایت فعلی و سایر سایت‌هایی موجود بر روی سرور است. سپس در دایرکتوری‌های ریشه سایت شناسایی شده، با تغییر فایل wp-blog-header.php ، بدافزار جاوا اسکریپت Balada را که در ابتدا از طریق آسیب‌پذیری Popup Builder  تزریق شده بود، تزریق می‌کند.

محصولات تحت تأثیر
این آسیب‌پذیری در نسخه‌های قبل از 4.2.3 افزونه Popup Builder وجود دارد.

توصیه‌های امنیتی
این نقص امنیتی در نسخه‌ 4.2.3 افزونه Popup Builder رفع شده است.

منابع خبر:

[1]https://thehackernews.com/2024/01/balada-injector-infects-over-7100.html 
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-6000
[3] https://wpscan.com/blog/stored-xss-fixed-in-popup-builder-4-2-3

AgentTesla یک بدافزار ویندوزی نوشته شده به زبان دات‌نت است که جهت سرقت اطلاعات حساس از سیستم‌های قربانیان طراحی شده است. این بدافزار به دلیل دسترسی آسان و هزینه نسبتاً پایین، به عنوان یک commodity malware شناخته می‌شود. این نوع بدافزار به مهاجمان با دانش فنی محدود این امکان را می‌دهد که انواع حملات سایبری مختلف را انجام دهند.  AgentTesla از طریق ایمیل‌های آلوده، فایل‌های دانلود شده از منابع ناامن یا وب‌سایت‌های مخرب منتشر می‌شود و پس از نصب در سیستم قربانی، به طور مخفیانه اجرا شده و شروع به جمع‌آوری اطلاعات می‌کند.
اطلاعاتی که AgentTesla می‌تواند جمع‌آوری کند عبارتند از:
•    نام کاربری و رمز عبور حساب‌های بانکی و مالی
•    شماره کارت‌های اعتباری و حساب‌های بانکی
•    اطلاعات شخصی مانند نام، آدرس، شماره تلفن و ایمیل
•    محتوای چت‌ها و پیام‌های خصوصی

محصولات تحت تأثیر
بدافزارAgentTesla  سیستم‌های ویندوز را هدف قرار می‌دهد. این بدافزار به ویژه برای سرقت اطلاعات از سیستم‌های شرکتی طراحی شده است، اما می‌تواند سیستم‌های شخصی را نیز مورد حمله قرار دهد.
 

توصیه‌های امنیتی
•    از نرم‌افزارهای امنیتی معتبر استفاده کنید.
•    ایمیل‌های ناشناس یا مشکوک را باز نکنید.
•    فایل‌ها را تنها از منابع معتبر دانلود کنید.
•    سیستم‌عامل و نرم‌افزارهای خود را به‌روز نگه دارید.

منبع خبر:

https://www.bitsight.com/blog/data-insights-agenttesla-and-originlogger-victims