گوگل به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری روزصفر با شناسه CVE-2024-0519 در مرورگرکروم منتشر کرده‌است. طبق بررسی‌های انجام شده، این آسیب‌پذیری در موتور جاوا اسکریپت کروم V8 شناسایی شده است. این نقص با شدت بالا شامل ضعف دسترسی به حافظه خارج از محدوده است که مهاجمان را قادر می‌سازد به داده‌های فراتر از بافرحافظه اختصاص داده‌شده، دسترسی پیدا کنند. بهره‌برداری از این آسیب‌پذیری ممکن است منجر به دسترسی غیرمجاز به اطلاعات حساس و یا خرابی سیستم شود.
علاوه بر خطر دسترسی غیرمجاز به حافظه، آسیب‌پذیری CVE-2024-0519 همچنین می‌تواند جهت دور زدن مکانیسم‌های حفاظتی مانند Address Space Layout Randomization (ASLR) مورد بهره‌برداری قرار‌گیرد. این امر می‌تواند اجرای کدهای مخرب را از طریق یک ضعف امنیتی دیگر تسهیل کند و تأثیر بالقوه بهره‌برداری را افزایش دهد.

توصیه‌های امنیتی
نسخه‌های وصله‌شده اکنون به صورت جهانی برای کاربران ویندوز (نسخه 120.0.6099.224/225)، مک (نسخه 120.0.6099.234) و لینوکس (نسخه 120.0.6099.224) در دسترس هستند. توصیه می‌شود کاربران در اسرع وقت به نسخه‌های ذکرشده ، به‌روزرسانی کنند.

منبع خبر:

https://www.bleepingcomputer.com/news/security/google-fixes-first-actively-exploited-chrome-zero-da…;

Atlassian چند گزارش آسیب‌پذیری را در بولتن امنیتی خود منتشر کرد که جزئیات آن‌ها به شرح زیر ارائه می‌شود:

•    آسیب‌پذیری با شناسه CVE-2023-22526 و شدت بالا 7.2 درAtlassian  امکان اجرای کد از راه دور (RCE) را برای مهاجم احراز هویت شده فراهم می‌آورد. این آسیب‌پذیری محرمانگی، یکپارچگی و دسترس‌پذیری را تحت تأثیر قرار می‌دهد و نیازی به تعامل با کاربر ندارد. 

•    آسیب‌پذیری با شناسه CVE-2023-22527 و شدت بحرانی 10.0 درAtlassian  امکان تزریق template که منجربه اجرای کد از راه دور (RCE) می‌شود را برای مهاجم احراز هویت نشده فراهم می‌آورد.

•    آسیب‌پذیری با شناسه CVE-2024-21672 و شدت بالا 8.3 درAtlassian  امکان اجرای کد از راه دور (RCE) را برای مهاجم احراز هویت نشده فراهم می‌آورد و مهاجم می‌تواند از راه دور از دارایی‌های (assets) موجود بهره‌برداری کند. این آسیب‌پذیری محرمانگی، یکپارچگی و دسترس‌پذیری را تحت تأثیر قرار می‌دهد و نیاز به تعامل با کاربر دارد.

•    آسیب‌پذیری با شناسه CVE-2024-21673 و شدت بالا 8.0 درAtlassian  امکان اجرای کد از راه دور (RCE) را برای مهاجم احراز هویت شده فراهم می‌آورد و مهاجم می‌تواند از راه دور از دارایی‌های (assets) موجود بهره‌برداری کند. این آسیب‌پذیری محرمانگی، یکپارچگی و دسترس‌پذیری را تحت تأثیر قرار می‌دهد و نیازی به تعامل با کاربر ندارد.

•    آسیب‌پذیری با شناسه CVE-2024-21674 و شدت بالا 8.6 درAtlassian  امکان اجرای کد از راه دور (RCE) را برای مهاجم احراز هویت نشده فراهم می‌آورد و مهاجم می‌تواند دارایی‌های (assets) مستعد سوء استفاده را افشا کند. این آسیب‌پذیری محرمانگی را تحت تأثیر قرار می‌دهد ولی یکپارچگی و دسترس‌پذیری تحت تأثیر قرار نمی‌گیرند و نیازی به تعامل با کاربر ندارد.

محصولات تحت تأثیر
این آسیب‌پذیری محصولات Atlassian شامل Confluence Data Center  نسخه 7.19.0، Confluence Data Center و Server  نسخه‌های 8.0.x ,8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.0, 8.5.1, 8.5.2, 8.5.3، نسخه 2.1.0 و نسخه 7.13.0 را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Confluence Data Center و Server به آخرین نسخه‌ی وصله‌شده اقدام نمایند. 
•    Confluence Data Center و Server نسخه 7.19، به نسخه‌ 7.19.17، 7.19.18 و یا نسخه بالاتر از 7.19.x ارتقاء داده شود.
•    Confluence Data Center و Server نسخه 8.5، به نسخه 8.5.5 یا نسخه منتشر شده بالاتر از 8.5.x ارتقاء داده شود.
•    Confluence Data Center و Server نسخه 8.7، به نسخه 8.7.2 یا نسخه منتشر شده بالاتر ارتقاء داده شود.
•    Confluence Data Center و Server به نسخه 8.5.4 (LTS) یا 8.5.5 (LTS) ارتقاء داده شود.
•    Confluence Data Center به نسخه 8.6.0 یا بالاتر ارتقاء داده شود.
•    فقط Data Center به نسخه‌های 8.7.1، 8.6.3 و 8.7.2 یا بالاتر ارتقاء داده شود.

منابع خبر:

[1] https://confluence.atlassian.com/pages/viewpage.action?pageId=1333335615
[2] https://confluence.atlassian.com/doc/confluence-release-notes-327.html

در کمپین‌های اخیر، مهاجمان عمدتاً از شبکه‌های اجتماعی مانند توییتر و دیسکورد جهت توزیع صفحات فیشینگ با موضوع ارزهای دیجیتال استفاده کرده‌اند که در نهایت منجر به ارائه بدافزار CLINKSINK شده است. بدافزار CLINKSINK از نوع Draider می‌باشد و برای سرقت اطلاعات حساس از قربانیان طراحی شده است. داده‌‎هایی که معمولاً توسط CLINKSINK استخراج می شوند عبارتند از:

• اطلاعات شخصی مانند نام، آدرس، شماره تلفن و شماره کارت اعتباری
• رمزهای عبور و اطلاعات ورود به سیستم
• اطلاعات مالی مانند شماره حساب بانکی و اطلاعات کارت اعتباری
• اطلاعات حساس مانند اسناد دولتی یا پزشکی
• آدرس کیف پول ارزهای دیجیتال
• کلیدهای خصوصی کیف پول
•  کلمات بازیابی کیف پول

این بدافزار عمدتاً از طریق صفحات فیشینگ با موضوع ارزهای دیجیتال توزیع می‌شود. دامنه‌ها و صفحات فیشینگ مشاهده‌شده، عمدتاً از جعل طرح‌های AirDrop منابع قانونی ارزهای دیجیتال مانند پلتفرم‌های Phantom، DappRadar و BONK استفاده می‌کنند. در تصاویر زیر نمونه‌هایی از این صفحات فیشینگ  مشاهده می‌شود که حاوی کد جاوااسکریپت بدافزار CLINKSINK می‌باشند که امکان اتصال به کیف پول قربانی و سرقت ارزهای آن را فراهم می‌کنند.

 
شکل 1 صفحه فیشینگ BONK

شکل 2 صفحه فیشینگ PHNTM

شکل 3 صفحه فیشینگ DappRadar

قربانی پس از ورود به سایت‌های فیشینگ از طریق لینک‌های توزیع شده در شبکه‌های اجتماعی، کیف پول را برای دریافت توکن به این سایت‌ها متصل می‌کند. پس از اتصال، از قربانی خواسته می‌شود تا یک تراکنش را امضا و تأیید کند. این کار منجر به سرقت ارزهای دیجیتال از کیف قربانی می‌شود.

آنالیز اولیه CLINKSINK
فایل CLINKSINK تجزیه و تحلیل شده (MD5 hash 8650e83da50bd726f77311b729905c0d) توسط یک کد جاوااسکریپت مبهم شده است. در بارگذاری صفحه، نمونه ابتدا بررسی می‌کند که آیا قربانی کیف‌پول دسکتاپ فانتوم را نصب کرده است یا خیر. در حالی که برخی از انواع شناسایی شده CLINKSINK چندین کیف پول ارزهای دیجیتال را هدف قرار می‌دهند، این نوع فقط فانتوم را هدف قرار می‌دهد. اگر این بررسی مثبت باشد، نمونه یک درخواست POST به یک URL در دامنه ontoothers[.]com می‌دهد که حاوی یک عبارت بسیار توهین‌آمیز است.
درخواست POST ارسال شده، به شرح زیر است، اما محققان به دلیل محتوای بدآموزی آن را حذف کرده‌اند:

<REDACTED>: null696969

کلید رمزگذاری که برای رمزگذاری درخواست استفاده می‌شود، به صورت هاردکد شده است:

3i4gthiwkeoqgjnhkiq3owrjgowejrgkomjwekiorfgmjikoewqrjmgij3ritgjfhi3qwrenjgikerdfg

سرور با پیکربندی و شناسه گروه تلگرامی که با AES رمزگذاری شده، پاسخ می‌دهد که در ادامه آمده است. اگر پاسخ رمزگشایی شود، یک متغیر cool وجود دارد که شناسه گروه تلگرامی است. متغیر دوم که حاوی پیکربندی است، از الفاظ رکیک استفاده شده است. این پیکربندی حاوی کیف پول Solana شریک (affiliate) و اپراتور، درصد تقسیم وجوه سرقتی و تعدادی پیکربندی برای کنترل رفتار بدافزار است:

cool: -1002032238930
<REDACTED>: {"receiver":"B4y9s5E8rb79RH4BoQRTqQBPKxpEFxdkL1y3E5A9XYCK","min_value_assets":10,"min_v
alue_connect":10,"button":{"connect":"Sign Up / Sign In with 
Phantom.","desktop_required":"Desktop required","connecting":"Connecting...","connected":"Claim 
Now","claiming":"Claiming...","no_funds":"Wallet has no funds to pay the transaction 
Fees","error":"Something wen't wrong...","rejected":"Claim failed! Try 
again?","change_button":false},"alerts":{"enabled":true,"no_funds":"The wallet you've connected is 
not eligible. Please try again with another wallet."},"split":0.2,"show_full_url":true,"instant_popup_if_installed":false,"redirect_if_not_installed"
:true,"solana_price":100.9,"split_address":"B8Y1dERnVNoUUXeXA4NaCHiB9htcukMSkfHrFsTMHA7h"}

در پاسخ بالا، از قربانی خواسته می‌شود که کیف پول Solana خود را متصل کند. پس از اتصال، یک درخواست به URL دوم در دامنه ontoothers[.]com ارسال می‌شود که حاوی آدرس کیف پول‌های متصل شده است. سرور، یک جستجوی روی کیف پول متصل شده انجام می‌دهد و برخی جزئیات از جمله میزان موجودی آن را به دست می‌آورد و در پاسخ ارسال می‌کند. سرور همچنین آدرس‌های کیف پول ارسال شده را بررسی می‌کند و اگر بیش از یک بار متصل شده باشند، پیام null را برمی‌گرداند.
اگر سرور جزئیات معتبری از کیف پول ارسال کند، یعنی کیف پول تکراری نباشد، بدافزار یک درخواست جدید به URL سوم در دامنه ontoothers[.]com ارسال می‌کند که حاوی جزئیات بیشتر از کیف پول و وب سایت شریک CLINKSINK است. سپس از قربانی می‌خواهد تا یک تراکنش جعلی را امضا و تأیید کند. اگر قربانی این کار را انجام ندهد، سرقت شکست می‌خورد. با توجه به افزایش ارزش ارزهای دیجیتال، نشت کد منبع CLINKSINK باعث افزایش فعالیت‌های تخلیه توسط مهاجمان شده است. به دلیل پتانسیل سودآوری بالای این عملیات، مهاجمان همچنان این روند را ادامه خواهند داد. در مجموع، می‌توان گفت که فعالیت CLINKSINK در آینده نزدیک افزایش خواهد یافت. مهاجمان با انگیزه مالی و افزایش ارزش ارزهای دیجیتال و نشت کد منبع از CLINKSINK برای انجام حملات بیشتر استفاده خواهند کرد.
 
منبع‌خبر:

https://www.mandiant.com/resources/blog/solana-cryptocurrency-stolen-clinksink-drainer-campaigns
 

یک آسیب‌پذیری با شناسه CVE-2023-7102 و شدت بالا در دستگاه‌های ESG Barracuda شناسایی شده است که می‌تواند منجر به حملات مخرب گسترده شود.
این آسیب‌پذیری ناشی از یک ضعف در کتابخانه Spreadsheet::Parse Excel شخص ثالث است که توسط اسکنر ویروس Amavis که در دستگاه‌های ESG اجرا می‌شود، استفاده می‌شود. این ضعف به مهاجمان اجازه می‌دهد تا یک فایل اکسل آلوده را به یک دستگاه ESG ارسال کنند. هنگامی که این فایل باز می‌شود، کد مخرب اجرا شده و کنترل دستگاه را به دست می‌گیرد. مهاجم می‌تواند از این کنترل برای انجام طیف گسترده‌ای از فعالیت‌های مخرب از جمله نصب بدافزارها، سرقت اطلاعات و خرابکاری در دستگاه آسیب‌دیده استفاده کند.
علائم احتمالی بهره‌برداری از این آسیب‌پذیری و آلوده شدن دستگاه به آسیب‌پذیری مذکور عبارتند از:
•    افزایش غیرمنتظره ترافیک شبکه به دستگاه ESG
•    افزایش غیرمنتظره استفاده از منابع پردازشی یا حافظه در دستگاه  ESG  
•    مشاهده فعالیت‌های غیرمعمول در دستگاهESG ، مانند تلاش برای دسترسی به پورت‌های شبکه غیرمعمول یا راه‌اندازی برنامه‌های غیرمعمول

توصیه‌های امنیتی
توصیه می‌شود که همه کاربران، دستگاه‌های ESG Barracuda را به نسخه 7.3.0 یا بالاتر به‌روز کنند تا تأثیرات مخرب این آسیب‌پذیری به دور باشند.

منبع‌خبر:

https://www.bleepingcomputer.com/news/security/barracuda-fixes-new-esg-zero-day-exploited-by-chines…

GitPython یک کتابخانه پایتون است که برای تعامل با مخازن git مورد استفاده قرار می‌گیرد و می‌تواند محتویات داخل مخازن مربوطه را بخواند و همچنین در آن‌ها بنویسد. پیشتر، آسیب‌پذیری‌ای با شناسه CVE-2023-40590 در Gitpython کشف شده‌بود که اصلاحاتی برای آن ارائه شد اما این بار در پی نقصی که در اصلاحات پیشین وجود داشت، آسیب‌پذیری با شدت بالا و شناسه جدید CVE-2023-22190 در مورد این کتابخانه‌ی پایتون اعلام گردید. این آسیب‌پذیری که شدت CVSS 7.8 را به خود اختصاص داده‌است کاربران ویندوز‌ را تهدید می‌کند. استفاده‌ی Gitpython از یک shell(پوسته) جهت اجرای git، مشابه کاری که برای اجرای bash.exe ‌جهت تفسیر hook  انجام می‌دهد، منجر به استفاده از یک مسیر جستجوی ناامن می‌شود که اگر این امر بر روی یک سیستم با سیتسم‌عامل ویندوز انجام شود می‌تواند اجرای یک فایل مخرب یا آلوده‌ی git.exe یا bash.exe را در پی داشته باشد.
اگرچه GitPython اغلب از اجرای برنامه‌هایی که در یک مسیر جستجوی نامعتبر یافت می‌شوند اجتناب می‌کند، اما همچنان دو موقعیت وجود دارد که هر یک تحت شرایطی، اجازه اجرای کد دلخواه را به مهاجم می‌دهند:
•    هنگامی که از یک shell استفاده می‌شود:
هنگامی کهGitPython ، git را مستقیماً به جای یک پوسته اجرا می‌کند، فرآیند پیش‌فرض جستجوی مسیر انجام می‌شود و مسیر ارائه شده را با تنظیم متغیر محلی NoDefaultCurrentDirectoryInExePath حذف می کند. اما در استفاده از پوسته cmd.exe، این متغیر محلی حذف مسیر از جانب Gitpython انتقال نمی‌یابد.
•    هنگامی که اسکریپت‌های hook اجرا می‌شوند:
Hooks Git، اسکریپت‌هایی هستند که با هربار اجرا یک رویداد خاص در یک مخزن Git به‌طور خودکار اجرا می‌شوند. در ویندوز، GitPython از پوسته‌ي bash.exe جهت اجرای hookهایی که اسکریپت هستند، استفاده می‌کند. با این حال، برخلاف هنگام اجرای git، هیچ اقدامی جهت جلوگیری از یافتن و اجرای bash.exe در مسیر(directory) فعلی صورت نمی‌پذیرد که همین امر عامل وقوع نقص امنیتی‌ مذکور می‌باشد.

محصولات تحت تأثیر
احتمالاً بخش عمده تأثیر این آسیب‌پذیری در برنامه‌هایی است که Git.USE_SHELL = True را جهت حفظ تاریخچه‌ی توسعه‌ی خود تنظیم می‌کنند. چنین برنامه‌هایی ممکن است در برابر اجرای کد دلخواه از یک مخزن مخرب آسیب‌پذیر باشند. اگر از یک پوسته جهت اجرای git استفاده شود، مهاجم می‌تواند کاربر را فریب دهد تا یک مخزن را با یک فایل اجرایی مخرب دانلود کند. باید توجه داشت که اجرای خود برنامه از یک مسیر قابل اعتماد جهت ایمن‌سازی فرایند کافی نیست.

توصیه‌های امنیتی 
این آسیب‌پذیری در نسخه 3.1.41 کتابخانه GitPython وصله شده‌است. 
همچنین راه‌های پیشنهادی جهت کاهش خطر این آسیب‌پذیری به شرح ذیل می‌باشند:

• هنگامی که از یک پوسته استفاده می‌شود، متغیر NoDefaultCurrentDirectoryInExePath را به محیط زیرپردازش منتقل کنید. در این صورت خود پوسته cmd.exe جستجوی مسیر را انجام می‌دهد که راهی ایمن است.
• هنگام فراخوانی Popen که برای اجرای hookها با یک زیرفرایند bash.exe انجام می‌گیرد، NodeFaultCurrentDirectoryInexePath را در محیط فرآیند Gitpython تنظیم کنید.

 
منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-22190&nbsp;
[2] https://github.com/gitpython-developers/GitPython/security/advisories/GHSA-2mqj-m65w-jghx&nbsp;
 

یک آسیب‌پذیری با شناسه CVE-2024-21591 و شدت بحرانی (9.4) در محصولات سری SRX و سری EX شرکت Juniper کشف شده است. شرکتJuniper  وصله‌های امنیتی را منتشر کرده است تا یک آسیب‌پذیری اجرای کد از راه دور (RCE) را در فایروال‌های سری SRX و سوئیچ‌های سری EX را رفع کند. این آسیب‌پذیری در رابط کاربری پیکربندی J-Web، به مهاجمان اجازه می‌دهد که بدون نیاز به احراز هویت، امتیازات root را بدست آورده یا اقدام به حملات Denial-of-Service (DoS) بر روی دستگاه‌های آسیب‌پذیر کنند.

محصولات تحت تأثیر
لیست کامل نسخه‌های آسیب‌پذیر Junos OS برای SRX Series و EX Series J-Web شامل موارد زیر است:
•    نسخه‌های Junos OS قبل از 20.4R3-S9
•    نسخه‌های Junos OS 21.2 قبل از 21.2R3-S7
•    نسخه‌های Junos OS 21.3 قبل از 21.3R3-S5
•    نسخه‌های Junos OS 21.4 قبل از 21.4R3-S5
•    نسخه‌های Junos OS 22.1 قبل از 22.1R3-S4
•    نسخه‌های Junos OS 22.2 قبل از 22.2R3-S3
•    نسخه‌های Junos OS 22.3 قبل از 22.3R3-S2
•    نسخه‌های Junos OS 22.4 قبل از 22.4R2-S2, 22.4R3

توصیه‌های امنیتی
تیم واکنش به حوادث امنیتی شرکت Juniper اعلام کرده است که هیچ شواهدی مبنی بر بهره‌برداری از این آسیب‌پذیری در محیط واقعی وجود ندارد. این شرکت به مدیران سیستم توصیه می‌کند که بلافاصله وصله‌های امنیتی را اعمال کنند یا نسخه JunOS خود را به آخرین نسخه به‌روزرسانی نمایند. همچنین، اگر امکان به‌روزرسانی فوری وجود ندارد، می‌توانند رابط J-Web را به ‌طور موقت غیرفعال کنند.

منبع خبر:

https://www.bleepingcomputer.com/news/security/juniper-warns-of-critical-rce-bug-in-its-firewalls-a…

به تازگی محققان امنیتی دو آسیب‌پذیری با شناسه‌های CVE-2023-46805 و CVE-2024-21887 با شدت 9.1 در Connect Secure و Ivanti Policy Secure  کشف کرده‌اند. این آسیب‌پذیری‌ها می‌توانند به مهاجمان اجازه دهند تا با ارسال درخواست‌های خاص، کنترل دستگاه‌های آسیب‌دیده را به دست گیرند و آسیب‌های جدی به شبکه‌های سازمانی وارد کنند. CVE-2023-46805 یک آسیب‌پذیری دور زدن احراز هویت در مؤلفه وب ICS (9.x, 22.x) و IPS است که می‌تواند به مهاجم از راه دور اجازه دهد تا با دور زدن کنترل‌های دسترسی، به منابع محدود‌شده دسترسی پیدا کند. آسیب‌پذیری CVE-2024-21887 یک نقص تزریق دستور در مؤلفه‌های وب IPS (9.x , 22.x) و  ICS است که به یک کاربر administrator احراز‌ هویت شده اجازه می‌دهد تا با ارسال درخواست‌های جعلی خاص، دستورات دلخواه را بر روی دستگاه آسیب‌دیده اجرا کند. در صورتی که از هر دو آسیب‌پذیری مذکور استفاده شود، بهره‌برداری نیازی به احراز هویت نداشته و مهاجم می‌تواند با ارسال درخواست‌های مخرب، دستورات دلخواه خود را بر روی سیستم اجرا کند.

محصولات تحت تأثیر
Connect Secure و Ivanti Policy Secure  تحت تأثیر آسیب‌پذیری‌های فوق قرار دارند.

توصیه‌های امنیتی
پیروی از توصیه‌های ارائه شده جهت کاهش آسیب‌پذیری‌ها ضروری است. در این مورد، اقدامات زیر توصیه می‌شوند:
1-    فایروال‌های سیستم‌ها به نسخه‌های 9.12.2 یا 22.3.2 به‌روز شود.
2-    برای جلوگیری از دسترسی غیرمجاز به فایروال‌ها، از یک فایروال یا سایر دستگاه‌های امنیتی استفاده ‌شود.
3-    برای ورود، از احراز هویت چندعاملی استفاده می‌شود.
4-    برای شناسایی و رفع آسیب‌پذیری‌های موجود در شبکه، از یک برنامه مدیریت آسیب‌پذیری استفاده ‌شود.
5-    جهت آموزش کارکنان در مورد خطرات امنیتی و نحوه محافظت از خود در برابر آنها، از یک برنامه آموزش امنیت سایبری استفاده شود.

منابع‌خبر:

[1] https://www.ncsc.gov.uk/news/exploitation-ivanti-vulnerabilities
[2] https://www.rapid7.com/blog/post/2024/01/11/etr-zero-day-exploitation-of-ivanti-connect-secure-and-…

سیسکو یک آسیب‌پذیری با شناسه CVE-2024-20272 با شدت بالا (7.3) را در نرم‌افزار Unity Connection برطرف کرده است.  این آسیب‌پذیری به مهاجم اجازه می‌دهد دستورات دلخواه خود را در سیستم اجرا کند. این نقص امنیتی در بخشی از رابط مدیریت مبتنی بر وب قرار دارد که فرآیند آپلود فایل نادرست پیاده‌سازی شده است، امکان سوءاستفاده از آن برای اجرای دستورات مخرب بر روی سیستم آسیب‌دیده وجود دارد.
این آسیب‌پذیری ناشی از عدم انجام فرآیند احراز هویت صحیح در یک API خاص و اعتبارسنجی نامناسب داده‌های ارسالی کاربر است. این امر باعث می‌شود که مهاجمان بتوانند از این نقص امنیتی برای بارگذاری فایل‌های مخرب به سیستم استفاده کنند و به این ترتیب کنترل کامل سیستم را در اختیار بگیرند.
 

محصولات تحت تأثیر
Cisco Unity Connection نسخه‌های 12.5 و قبل‌تر و نسخه 14 تحت تأثیر این آسیب‌پذیری قرار می‌گیرند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت Cisco Unity Connection نسخه 12.5 را به نسخه 4-12.5.1.19017 و نسخه 14 را به نسخه 5-14.0.1.14006 ارتقاء دهند.

منبع خبر:

https://thehackernews.com/2024/01/cisco-fixes-high-risk-vulnerability.html

یک آسیب‌پذیری با شناسه CVE-2023-51698 و شدت بحرانی 9.6 درAtril  (نمایشگر اسناد چند صفحه‌ای ساده) کشف شده است که امکان تزریق فرمان و اجرای کد از راه دور را برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری هنگامی که قربانی یک سند دستکاری شده را باز می‌کند یا با استفاده از یک سند CBT ساخته شده مخرب که یک بایگانی TAR است، روی یک پیوند /URL دستکاری شده و مخرب کلیک می‌کند، به مهاجم دسترسی فوری به سیستم قربانی را از این طریق خواهد داد. این آسیب‌پذیری به دلیل وجود قطعه کدی است که در Atril وجود دارد و مسئول رسیدگی به اسناد comic book (.cbr, .cbz, .cbt, .cb7) می‌باشد. اسناد comic book شامل آرشیوهایی (archives) حاوی تصاویر (images) هستند.

محصولات تحت تأثیر
این آسیب‌پذیری Atril و سیستم‌عامل‌های محبوب لینوکس با MATE، Cinnamon  و برخی محیط‌های دسکتاپ Xfce را تحت تاثیر قرار می‌دهد. 

•    سیستم عامل‌های تحت تأثیر:

•    Kali Linux (Popular OS among Security professionals, researchers)
•    Parrot OS (Popular OS among Security professionals, researchers)
•    Ubuntu-Mate
•    Xubuntu
•    Fedora Cinnamon
•    Fedora Mate
•    Manjaro Mate
•    Manjaro Cinnamon
•    Ubuntu Kylin (Official Chinese Ubuntu)
•    Kylin OS V10 ( OS said to be used in the Chinese Government Sectors )

•    مؤلفه نرم‌افزاری تحت تأثیر: همه نسخه‌ها از جمله آخرین نسخه‌های Atril Document Viewer (reader سند پیش‌فرض برای محیط MATE).

توصیه‌های امنیتی
هنوز وصله‌ایی برای این آسیب‌پذیری منتشر نشده است و به کاربران توصیه می‌شود به محض انتشار راهکار و وصله امنیتی، در اسرع وقت نسبت به ارتقاء Atril به آخرین نسخه‌ اقدام نمایند. 

منبع خبر:

https://github.com/mate-desktop/atril/security/advisories/GHSA-34rr-j8v9-v4p2

یک آسیب‌پذیری بحرانی با شناسه CVE-2023-6875 و شدت 9.8 در افزونه وردپرس POST SMTP با بیش از 300 هزار نصب فعال کشف شده است که به مهاجمان اجازه می‌دهد کلید API استفاده شده جهت احراز هویت در این افزونه را مجدد تنظیم نمایند. بهره‌برداری از این آسیب‌پذیری مهاجمان را قادر می‌سازد تا فایل‌های لاگ را مشاهده کرده و ایمیل‌های مربوط به بازیابی کلمه عبور را مشاهده کنند.
پس از کشف این آسیب‌پذیری یک نقص امنیتی دیگر از نوع Unauthenticated XSS نیز در این افزونه کشف شده است که دارای شناسه CVE-2023-7027 و شدت بالا بوده و به مهاجمان اجازه می‌دهد بدون احراز هویت اسکریپت‌های دلخواه را در برخی صفحات تزریق نمایند؛ هفته گذشته نیز یک آسیب‌پذیری Reflected XSS با شناسه CVE-2023-6621 در این افزونه شناسایی شده بود اما بهره‌برداری از آن نیاز به دسترسی Admin دارد.
آسیب‌پذیری با شناسه CVE-2023-6875 در واقع از نوع Type Juggling می‌باشد. این افزونه کمک می‌کند که بتوان یک SMTP mailer را در وب‌سایت وردپرسی پیکربندی کرد و جایگزینی برای تابع پیش‌فرض ایمیل در وردپرس می‌باشد. یک اپلیکیشن موبایل می‌تواند از طریق یک کلید احراز هویت ایجاد شده به این افزونه متصل شود. با بررسی کد منبع افزونه مشاهده می‌شود که تابع connect_app() در کلاس Post_SMTP_Mobile_Rest_API برای ذخیره تنظیمات برنامه موبایل استفاده می‌شود:
 

برای تنظیم مقدار توکن FCM نیاز به دانستن یک مقدار nonce می‌باشد که به صورت تصادفی تولید شده است. اما این افزونه توکن احراز هویت را در تمام موارد حذف می‌کند. یعنی پس از ارسال یک درخواست، مقدار nonce همیشه خالی است. بنابراین مهاجم می‌تواند در درخواست بعدی مقدار توکن FCM را تنظیم نماید و یک مقدار خالی برای کلید احراز هویت ارائه دهد که به صورت true ارزیابی می‌شود. پس از اتصال موفق می‌توان تمام ایمیل‌ها را مشاهده کرد که این امر شامل ایمیل‌های مربوط به بازیابی کلمه عبور می‌باشد، پس با درخواست بازیابی کلمه عبور مهاجم می‌تواند کنترل کامل وب‌سایت را در دست بگیرد و فایل‌های دلخواه خود را همانند مدیر سایت بارگذاری نماید.

نسخه‌های تحت تأثیر
نسخه 2.8.7 و قبل‌تر افزونه وردپرس POST SMTP تحت تأثیر این آسیب‌پذیری قرار می‌گیرند.

توصیه‌های امنیتی
آخرین نسخه منتشر شده این افزونه 2.8.9 می‌باشد و آسیب‌پذیری‌های مذکور در نسخه 2.8.8 برطرف شده‌اند. توصیه می‌شود دراسرع وقت نسبت به نصب آخرین به‌روزرسانی اقدام نمایید.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-6875
[2]https://www.wordfence.com/blog/2024/01/type-juggling-leads-to-two-vulnerabilities-in-post-smtp-mail…