آسیب‌پذیری‌ XSS در افزونه POST SMTP وردپرس

تاریخ ایجاد

یک آسیب‌پذیری با شناسه‌ CVE-2023-6621 و شدت 7.1 در افزونه POST SMTP وردپرس شناسایی شده است که امکان حمله XSS بازتابی (Reflected) را برای مهاجم فراهم می‌کند. این افزونه قبل از خروج از صفحه، پارامتر msg را پاکسازی و escape نمی‌کند، که می‌تواند منجر به یک اسکریپت بین سایتی منعکس شده (Reflected Cross-Site Scripting) برای کاربر با سطح دسترسی admin شود.

محصولات تحت تأثیر
این آسیب‌پذیری افزونه POST SMTP وردپرس نسخه‌های قبل از 2.8.7 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء این افزونه به نسخه‌‌ 2.8.7 و بالاتر اقدام نمایند.

منبع خبر:


https://wpscan.com/vulnerability/b49ca336-5bc2-4d72-a9a5-b8c020057928

کشف آسیب‌پذیری در Apache InLong

تاریخ ایجاد

محققان امنیتی به تازگی یک آسیب‌پذیری بحرانی در پلتفرم Apache InLong با شناسه CVE-2023-51785 کشف کردند. این آسیب‌‌‌‌پذیری مربوط به Apache InLong که یک پلتفرم توزیع‌شده مخابره، همگام‌‌‌‌سازی و اشتراک داده است می‌باشد و نگرانی‌هایی را در خصوص بازیابی داده‌‌‌‌های سریال‌‌‌‌شده غیرقابل اعتماد به جای داده اصلی ایجاد می‌‌‌‌کند. این سامانه‌‌‌‌ها، ابتدا اطلاعات را به دنباله‌‌‌‌ای بیتی، سریال‌سازی کرده و سپس در مقصد از این دنباله، داده با فرمت اصلی بازسازی می‌‌‌‌شود. این آسیب‌پذیری ناشی از آن است که Apache InLong، داده‌های سریال‌‌شده را قبل از بازیابی، به درستی اعتبارسنجی نمی‌کند؛ لذا به مهاجم اجازه می‌دهد تا داده‌های مخرب را به جریان ارسالی تزریق کند که این امر می‌تواند در مقصد توسط پلتفرم بازیابی و اجرا شود. هنگامی که داده‌‌‌‌ها از حالت سریال خارج می شوند، مهاجم می‌‌‌‌تواند از درایور MySQL جهت خواندن هر فایلی روی سیستم، از جمله فایل‌‌‌‌های حساس، سوءاستفاده کند که خطرات امنیتی قابل توجهی را در پی خواهد داشت.
یک برنامه‌‌‌‌ی وب را در نظر بگیرید که از Apache InLong جهت رسیدگی به درخواست‌‌‌‌های دریافتی استفاده می‌‌‌‌کند. برنامه، برای دسترسی به داده‌‌‌‌های مورد نیاز، با ارسال یک درخواست، اطلاعات را از طریق پلتفرم یاد شده از پایگاه داده دریافت می‌‌‌‌کند، اما به جای بازیابی داده‌‌‌‌های واقعی، مهاجم یک بار مخرب را ارسال می‌‌‌‌کند که شامل ارجاع به یک فایل در سرور است.
 

1


Apache InLong این دنباله JSON را از حالت سریال خارج و فیلد «مسیر» را استخراج می‌‌‌‌کند که به یک فایل حساس در سرور اشاره خواهد کرد. بدون اعتبار‌‌‌‌سنجی مناسب، Apache InLong سعی می‌‌‌‌کند محتویات «/etc/passwd» را بارگیری کند و آن را به طرف مقابل بازگرداند. با این حال، از آنجایی که مهاجم مقدار فیلد «مسیر» را کنترل می‌کند، می‌تواند هر فایلی از جمله فایل‌های حساس پیکربندی، فایل‌های گزارش یا حتی فایل‌‌‌‌های اجرایی باینری را در سرور رصد کند. این موضوع می‌‌‌‌تواند به مهاجم اجازه دهد که داده‌های حساس را از سیستم قربانی استخراج کند، تنظیمات سرور را تغییر دهد یا حتی کد دلخواه را روی سرور اجرا کند.


محصولات تحت تأثیر
نسخه های بین 1.7.0 و  1.9.0  پلتفرم Apache InLong تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت سامانه خود را به نسخه Apache InLong 1.10.0 یا cherry-pick   ارتقاء دهند.


منابع خبر:


[1] https://lists.apache.org/thread/g0yjmtjqvp8bnf1j0tdsk0nhfozjdjno
[2] http://www.openwall.com/lists/oss-security/2024/01/03/2
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-51785

آسیب‌پذیری اعتبارسنجی ورودی در پکیج follow-redirects

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2023-26159 و شدت بالا (7.3) در پکیج follow-redirects کشف شده است. نسخه‌های آسیب‌دیده این پکیج، به دلیل مدیریت نادرست URL‌ها توسط تابع ()url.parse، در برابر اعتبارسنجی نادرست ورودی، آسیب‌پذیر هستند. زمانی که ()new URL خطایی را ارسال می‌کند، ممکن است این خطا به نحوی تغییر یابد تا نام میزبان (hostname) به طریق اشتباهی تفسیر شود. مهاجم می‌تواند با بهره‌برداری از این آسیب‌پذیری، ترافیک را به یک سایت مخرب هدایت کرده و در نتیجه به افشای اطلاعات، حملات فیشینگ یا سایر تهدیدات امنیتی منجر گردد.
 

a


محصولات تحت تأثیر
نسخه‌های قبل از 1.15.4 پکیج follow-redirects آسیب‌پذیر گزارش شده‌اند.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت، نسبت به به‌روزرسانی پکیج به نسخه 1.15.4 یا بالاتر، اقدام نمایند.

منبع خبر:


https://security.snyk.io/vuln/SNYK-JS-FOLLOWREDIRECTS-6141137

کشف آسیب‌پذیری بحرانی در افزونه وردپرس Checkout Mestres WP

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2023-51469 و شدت بحرانی (9.3) بصورت SQL Injection در افزونه  Checkout Mestres WP  کشف شده است. مهاجم با بهره‌برداری از این نقص امنیتی می‌تواند کد مخرب خود را در سیستم قربانی تزریق کند و مستقیماً به پایگاه داده دسترسی داشته باشد.
بر اساس بردار حمله این آسیب‌پذیری (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L)، بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و مهاجم به تعامل با کاربر نیز نیاز ندارد (UI:N). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C) و یک ضلع از سه ضلع امنیت با شدت بسیار زیاد و ضلع دیگر نیز به با شدت بالایی تحت تأثیر قرار می‌گیرند.

محصولات تحت تأثیر
نسخه 7.1.9.6 افزونه وردپرس Checkout Mestres WP تحت تأثیر این آسیب‌پذیری قرار دارد.

توصیه‌های امنیتی
تاکنون اطلاعاتی در خصوص اقدامات امنیتی که منجر به کاهش تأثیرات ناشی از آسیب‌پذیری مذکور شود ارائه نشده است، اما تا انتشار وصله امنیتی به کاربران پیشنهاد می‌شود که موقتأ افزونه آسیب‌پذیر را با محصول دیگری جایگزین کنید.

منابع خبر:


[1] https://vuldb.com/?id.249423 
[2]https://patchstack.com/database/vulnerability/checkout-mestres-wp/wordpress-checkout-mestres-wp-plu…

شناسایی چندین آسیب‌پذیری در گوشی‌های هوشمند شرکت Honor

تاریخ ایجاد

به تازگی محققان امنیتی چندین آسیب‌پذیری با شناسه‌های زیر در گوشی‌های هوشمند Honor کشف کرده‌اند:


•    CVE-2023-51426
•    CVE-2023-51427
•    CVE-2023-51428
•    CVE-2023-51429
•    CVE-2023-51430
•    CVE-2023-51431
•    CVE-2023-51432
•    CVE-2023-51433
•    CVE-2023-51434
•    CVE-2023-51435
 

•    CVE-2023-51426 و CVE-2023-51427 : در این دو آسیب‌پذیری که شدت آن‌ها متوسط 4.6 می‌باشد، مهاجم می‌‌‌‌تواند مانع از دریافت برخی از سرویس‌ها توسط کاربر بر روی تلفن همراه خود شود. به گفته محققان امنیتی از نسخه7.0  تا نسخه 7.0.0.128 سیستم عاملMagic OS  در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری‌ها قرار دارند. تمام کاربران این دستگاه‌ها، بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌روزرسانی دریافت خواهند کرد. با اعمال این به‌روزرسانی، وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌روزرسانی، نسخه Magic OS در دستگاه آن‌ها را به نسخه امن شده 7.0.0.129 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این دو آسیب‌پذیری، از روش‌های مرسوم در حملات مبتنی Type Confusion استفاده شده است.
 

•    CVE-2023-51428: این آسیب‌پذیری نیز مانند دو آسیب‌پذیری قبلی دارای شدت متوسط 4.6 است. جزئیات و نحوه به‌روزرسانی، نسخه‌های آسیب‌پذیر و سایر نکات در خصوص این آسیب‌پذیری نیز مشابه دو آسیب‌پذیری قبلی است. در فرآیند پیاده‌سازی این آسیب‌پذیری، همانند دو آسیب‌پذیری قبل، از روش‌های مرسوم در آسیب‌پذیری‌ Type Confusion استفاده شده است.
*این سه آسیب‌پذیری به دلیل ایجاد خطا در نوع پارامتر ورودی که مورد تأیید کد منبع یک برنامه یا نرم‌‌‌‌افزار باشد، رخ می‌دهد؛ اما پارامتری که در هر یک از این آسیب‌پذیری‌ها توسط مهاجم مورد هدف قرار می‌گیرد، متفاوت است.
 

•  CVE-2023-51429: این آسیب‌پذیری که شدت آن‌ متوسط 6 است به مهاجم این امکان را می‌دهند تا با بهره‌برداری از آن ‌بتواند به اطلاعات کاربر دسترسی پیدا کند و به عبارت دیگر موفق به پیاده‌سازی حملات مبتنی information leakage شود. از نسخه7.0  تا نسخه 7.0.0.155 سیستم عاملMagic OS  در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها، بصورت خودکار پیامی مبنی بر نیاز به انجام به‌روزرسانی دریافت خواهند کرد. با اعمال این به‌‌‌‌روز رسانی، وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌روزرسانی نسخه Magic OS در دستگاه آن‌ها را به نسخه امن شده 7.0.0.156 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این آسیب‌پذیری از روش‌های مرسوم در آسیب‌پذیری‌ Incorrect Privilege Assignment استفاده شده است.

•  CVE-2023-51430: این آسیب‌پذیری که شدت آن‌ متوسط 4.4 است، به مهاجم این امکان را می‌دهند تا با بهره‌بردرای از آن ‌بتواند به اطلاعات کاربر دسترسی پیدا کند. به گفته محققان امنیتی از نسخه6.0  تا نسخه 6.1.0.211 رابط کاربریMagic UI ، در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌روزرسانی دریافت خواهند کرد. با اعمال این به‌‌‌‌روز رسانی، وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌روزرسانی نسخه Magic UI در دستگاه آن‌ها را به نسخه امن شده  6.1.0.212 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این آسیب‌پذیری از روش‌های مرسوم در حملات مبتنی information leakage استفاده شده است.
 

•  CVE-2023-51431: این آسیب‌پذیری که شدت آن‌ بالا  و دارای نمره 7 است، به مهاجم امکان می‌دهد تا با سوء استفاده از آن ‌بتواند مانع از دریافت بعضی از سرویس‌ها توسط کاربر بر روی تلفن همراه خود شود. به گفته محققان امنیتی از نسخه11.0.0.241  تا نسخه 11.0.0.242 سرویس  com.hihonor.phoneservice در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌روزرسانی دریافت خواهند کرد. با اعمال این به‌‌‌‌روزرسانی، وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌روزرسانی نسخه com.hihonor.phoneservice در دستگاه آن‌ها را به نسخه امن شده 11.0.0.243 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این آسیب‌پذیری، از روش‌های مرسوم در آسیب‌پذیری‌ Incorrect Privilege Assignment استفاده شده است.
 

• CVE-2023-51432: این آسیب‌پذیری که شدت آن‌ پایین 3.2 است، به مهاجم این امکان را می‌دهند تا با بهره‌برداری از آن ‌بتواند به اطلاعات کاربر دسترسی پیدا کند و به عبارت دیگر موفق به پیاده‌سازی حملات مبتنی information leakage شود. از نسخه6.0  تا نسخه 6.1.0.211 رابط کاربریMagic UI ، در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها، بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌روزرسانی دریافت خواهند کرد. با اعمال این به‌روزرسانی، وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌‌‌‌روزرسانی، نسخه Magic UI در دستگاه آن‌ها را به نسخه امن شده 6.1.0.212 ارتقاء می‌دهد. در فرآیند پیاده‌سازی، این آسیب‌پذیری از روش‌های مرسوم در آسیب‌پذیری‌ Out-Of-Bounds Read استفاده شده است.

•  CVE-2023-51433: این آسیب‌پذیری که شدت آن‌ پایین 2.9 است به مهاجم این امکان را می‌دهد تا با بهره‌برداری از آن ‌بتواند مانع از دریافت بعضی از سرویس‌ها توسط کاربر بر روی تلفن همراه خود شود. از نسخه6.0  تا نسخه 6.1.0.211 رابط کاربریMagic UI  در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها، بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌‌‌‌روز رسانی دریافت خواهند کرد. با اعمال این به‌‌‌‌روز رسانی وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌‌‌‌روزرسانی، نسخه Magic UI در دستگاه آن‌ها را به نسخه امن شده  6.1.0.212 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این آسیب‌پذیری از روش‌های مرسوم حملات مبتنی information leakage استفاده شده است.

•  CVE-2023-51434: این آسیب‌پذیری که شدت آن‌ بحرانی 9.3 است به مهاجم این امکان را می‌دهد تا با بهره‌برداری از آن ‌بتواند اجرای کد از راه دور (RCE) را بر روی تلفن‌های همراه شرکت Honor پیاده‌سازی کند. از نسخه6.0  تا نسخه 6.1.0.211 رابط کاربریMagic UI  در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌‌‌‌روز رسانی دریافت خواهند کرد. با اعمال این به‌‌‌‌روز رسانی وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌روزرسانی نسخه Magic UI در دستگاه آن‌ها را به نسخه امن شده  6.1.0.212 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این آسیب‌پذیری، از روش‌های مرسوم در آسیب‌پذیری‌ Buffer Overflow استفاده شده است.

•  CVE-2023-51435: این آسیب‌پذیری که شدت آن‌ بالا 7.1 است به مهاجم امکان می‌دهد تا با بهره‌برداری از آن ‌بتواند به اطلاعات کاربر دسترسی پیدا کند و مانع از دریافت بعضی از سرویس‌ها توسط کاربر بر روی تلفن همراه خود شود. از نسخه6.0  تا نسخه 6.1.0.211 رابط کاربریMagic UI  در تلفن‌های همراه شرکت Honor در معرض این آسیب‌پذیری قرار دارند. تمام کاربران این دستگاه‌ها بصورت خودکار پیامی مبنی بر نیاز به اعمال به‌‌‌‌روز رسانی دریافت خواهند کرد. با اعمال این به‌روزرسانی وصله امنیتی بر روی دستگاه آن‌ها نصب خواهد شد. این به‌‌‌‌روزرسانی، نسخه Magic UI در دستگاه آن‌ها را به نسخه امن شده  6.1.0.212 ارتقاء می‌دهد. در فرآیند پیاده‌سازی این آسیب‌پذیری از روش‌های مرسوم در حملات مبتنی information leakage استفاده شده است.

منابع خبر:


[1] https://www.cve.org/CVERecord?id=CVE-2023-51426
[2] https://www.cve.org/CVERecord?id=CVE-2023-51427
[3] https://www.cve.org/CVERecord?id=CVE-2023-51428
[4] https://www.cve.org/CVERecord?id=CVE-2023-51429
[5] https://www.cve.org/CVERecord?id=CVE-2023-51430
[6] https://www.cve.org/CVERecord?id=CVE-2023-51431
[7] https://www.cve.org/CVERecord?id=CVE-2023-51432
[8] https://www.cve.org/CVERecord?id=CVE-2023-51433
[9] https://www.cve.org/CVERecord?id=CVE-2023-51434
[10] https://www.cve.org/CVERecord?id=CVE-2023-51435
 

آسیب‌پذیری binary hijacking در زبان برنامه‌نویسی Perl

تاریخ ایجاد

آسیب‌پذیری با شناسه‌ CVE-2023-47039 و شدت بالا (7.8) در زبان برنامه‌نویسی Perl امکان binary hijacking در ویندوز را برای مهاجم فراهم می‌آورد. زمانی کهPerl  در ویندوز برای یافتن پوسته ('cmd.exe')  به متغیر محیطی مسیر سیستم (system path environment variable) متکی است، در هنگام اجرای یک فایل اجرایی که از مفسر Windows Perl استفاده می‌شود، Perl  سعی می‌کند «cmd.exe» را در سیستم‌عامل پیدا و اجرا کند. اما، به دلیل مسائل مربوط به ترتیب جستجوی مسیر،Perl  در ابتدا به دنبال cmd.exe در فهرست کاری فعلی می‌گردد. این نقص به یک مهاجم با سطح دسترسی محدود اجازه می‌دهد تا «cmd.exe» را در مکان‌هایی با مجوز و سطح دسترسی پایین، مانند «C:\ProgramData»  قرار دهد. با انجام این کار، زمانی که یک مدیر سعی می‌کند از فایل اجرایی در این مکان‌های در معرض خطر استفاده کند، می‌توان کد دلخواه را اجرا کرد.

محصولات تحت تأثیر
این آسیب‌پذیری،  Perlنسخه‌های 5.30 و 5.32 را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء به نسخه‌ 5.32.1 اقدام نمایند.

منبع خبر:


https://access.redhat.com/security/cve/CVE-2023-47039

کاهش امنیت اتصالات OpenSSH در پی حملات Terrapin

تاریخ ایجاد

محققان حمله جدیدی به نام Terrapin را بررسی کرده‌اند که دنباله اعداد را در طول فرآیند handshake دستکاری می‌کند تا یکپارچگی کانال SSH را هنگامی که از حالت‌های رمزنگاری پرکاربرد (widely-used encryption) استفاده می‌شود، بشکند. این دستکاری به مهاجمان اجازه می‌دهد پیام‌های رد و بدل شده از طریق کانال ارتباطی را حذف یا اصلاح کنند و منجر به کاهش (downgrading) الگوریتم‌های کلید عمومی مورد استفاده برای احراز هویت کاربر یا غیرفعال کردن دفاع در برابر حملات keystroke timing در  OpenSSH نسخه 9.5 ‌شود.
حمله Terrapin امکان حملات برش پیشوند (prefix truncation attacks) را فراهم می‌کند که در آن برخی از بسته‌های رمزنگاری شده در ابتدای کانال SSH می‌توانند بدون اینکه مشتری یا سرور متوجه شود، حذف شوند. همچنین یک نقص پیاده‌سازی در AsyncSSH شناسایی شد که همراه با بریدن پیشوند (prefix truncation)، به مهاجم اجازه می‌دهد تا قربانی را به پوسته‌ای (shell) که توسط مهاجم کنترل می‌شود، هدایت کند.
" حمله Terrapin از ضعف‌های پروتکل لایه انتقال SSH در ترکیب با الگوریتم‌های رمزنگاری جدید و حالت‌های رمزنگاری 10 سال پیش که توسط OpenSSH معرفی شده‌اند، بهره‌برداری می‌کند (و بیش‌تر پیاده‌سازی‌های فعلی را تحت تاثیر قرار می‌دهد)."
حمله Terrapin با کوتاه کردن پیام‌های مهم مذاکره (negotiation) بدون اینکه مشتری یا سرور متوجه شود، سبب کاهش امنیت اتصال برقرار شده می‌شود. آسیب‌پذیری‌هایی از این حمله با شناسه‌های CVE-2023-48795، CVE-2023-46445  و CVE-2023-46446  منتشر شده است. نکته‌ای که در مورد حمله Terrapin باید به آن توجه کرد این است که مهاجمان باید در موقعیتMiTM  در لایه شبکه قرار گیرند تا تبادل handshake را رهگیری (intercept) و اصلاح کنند و اتصال باید توسط ChaCha20-Poly1305  یا CBC با رمزنگاری Encrypt-then-MAC ایمن شود. داده‌های موجود در پیام‌های رد و بدل شده پس از اتمام handshake، شدت عواقب حمله را مشخص می‌کنند.

 

1

حمله Terrapin

پیاده‌سازی یک مبادله کلید سخت (strict key exchange) که تزریق بسته را حین handshake غیرقابل دسترس می‌کند، می‌تواند به‌عنوان یک راه‌حل در نظر گرفته شود. گرچه اقدام متقابل مبادله کلید سخت، تنها زمانی مؤثر است که هم بر روی کلاینت و هم بر روی سرور اجرا شود.

محصولات تحت تأثیر
پروتکل OpenSSH نسخه 9.5 نسبت به این حمله آسیب‌پذیر می‌باشد.

توصیه‌های امنیتی
یک اسکنر آسیب‌پذیری Terrapin در GitHub منتشر شده است (https://github.com/RUB-NDS/Terrapin-Scanner) که مدیران می‌توانند از آن جهت تشخیص آسیب‌پذیری مشتری یا سرور SSH در برابر حمله Terrapin استفاده کنند. این آسیب‌پذیری یک نقص نرم‌افزاری ساده نیست که بتوان آن را با به‌روزرسانی یک کتابخانه برطرف کرد. کلاینت‌ها و سرورها باید به‌روزرسانی شوند تا از اتصال در برابر حملات برش پیشوند (prefix truncation attacks) محافظت شوند. 
در حال حاضر، بزرگترین عامل کاهش‌دهنده حملهTerrapin ، MiTM  می‌باشد که تهدیدات احتمالی ناشی از این حمله را کاهش می‌دهد. 

منابع خبر:


[1]https://www.bleepingcomputer.com/news/security/terrapin-attacks-can-downgrade-security-of-openssh-c…
[2] https://packetstormsecurity.com/files/176280/Terrapin-SSH-Connection-Weakening.html
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-48795
[4] https://nvd.nist.gov/vuln/detail/CVE-2023-46445
[5] https://nvd.nist.gov/vuln/detail/CVE-2023-46446
[6] https://terrapin-attack.com/TerrapinAttack.pdf

انتشار نسخه جدید بدافزار بانکی Chameleon

تاریخ ایجاد

محققان گزارشی منتشر کرده‌اند که به بررسی نسخه جدیدی از بدافزار بانکی با نام Chameleon می‌پردازد. این بدافزار به عنوان یک تهدید ظاهر شده و از روش‌های مختلفی برای انتشار در سیستم‌های  اندرویدی، استفاده می‌کند. برنامه‌های بانکی به عنوان اصلی‌ترین هدف این بدافزار شناخته می‌شوند.
محققان اعلام کردند که با تجزیه و تحلیل این بدافزار، موفق به شناسایی یک نسخه به‌روزشده از Zombinder نیز شدند. Zombinder یک dropper-as-a-service (DaaS) است که به مهاجمان امکان می‌دهد بدافزارهای خود را با یک برنامه مجاز الحاق کرده و منتشر کنند. این بدافزار قابلیت جالبی برای دستکاری دستگاه قربانی دارد و آن اجرای اقداماتی از طرف قربانی، از طریق ویژگی پروکسی است. این ویژگی، امکان انجام حملات پیشرفته مانند Account Takeover (ATO) و Device Takeover (DTO) را به خصوص بر روی برنامه‌های بانکی و ارزهای دیجیتال فراهم می‌کند. این عملکردها با بهره‌برداری از Accessibility Service قابل انجام است.
نوع قبلی تروجان بانکی Chameleon از روش‌های مختلفی برای توزیع استفاده می‌کرد، از جمله استفاده از صفحات فیشینگ و ظاهر شدن به عنوان یک برنامه مجاز، و استفاده از CDNها (یا شبکه توزیع محتوای مجاز) برای توزیع فایل. مهارت این تروجان در جعل هویت برنامه‌های قابل اعتماد است که این امر، پتانسیل آن را برای انتشار و تأثیر گسترده افزایش می‌دهد و اهمیت تهدید را برای امنیت تلفن همراه نشان می‌دهد.

Chameleon

براساس تحقیقات صورت گرفته، این بدافزار در حال توسعه بوده و به همین دلیل یک نسخه جدید با اصلاحات و ویژگی‌های جدید منتشر شده است. این نسخه جدید همچنان از قابلیت Device Takeover (DTO) از طریق Accessibility Service بهره می‌برد. همانطور که ذکر شد، این نمونه‌ها توسط Zombinder توزیع شده و به صورت برنامه‌های Google Chrome در اختیار کاربران قرار می‌گیرند.

معرفی APK های حامل Chameleon به عنوان Google Chrome


نسخه‌های جدید دو ویژگی بسیار حیاتی دارند: اول، امکان دور زدن اعلان‌های بیومتریک و دوم، امکان نمایش یک صفحه HTML برای فعال کردن Accessibility Service در دستگاه‌هایی با سیستم‌عامل اندروید 13 که ویژگی Restricted Settings را در حال اجرا دارند.

فعال کردن Accessibility Service در اندروید 13 از طریق HTML:
Restricted Settings یک ویژگی امنیتی در اندروید 13 است که از تأیید مجوزهای خطرناک مانند Accessibility جلوگیری می‌کند. توسعه‌دهندگان بدافزار از سرویس Accessibility برای سرقت محتوای صفحه، اختصاص مجوزهای بیشتر و غیره بهره می‌برند. این ویژگی پس از دریافت فرمان «android_13» از سرور Command and Control (C2) فعال می‌شود. بدافزار دستگاه را بررسی می‌کند و اگر اندروید نسخه 13 یا بالاتر باشد و ویژگی Restricted Settings فعال باشد، یک صفحه HTML را نمایش می‌دهد و از کاربر درخواست می‌کند تا سرویس Accessibility را فعال کند. این مرحله برای بدافزار Chameleon بسیار حیاتی است، زیرا این سرویس برای انجام حملات Device Takeover (DTO) ضروری می‌باشد.
کد زیر نحوه بررسی دستگاه برای Restricted Settings را نشان می‌دهد:

if (!class.devicebuild() && (class2.commandlist("android_13", Boolean.valueOf(true)) && Build.VERSION.SDK_INT >= 33 && !class2.commandlist("restrict_opened", Boolean.FALSE)) {
        this.startActivity(new Intent(this, class0).putExtra("action", "restriction"));
    }

اگر بدافزار تایید کند که دستگاه از نسخه اندروید 13 به بالا با قابلیت Restricted Settings استفاده می‌کند، یک صفحه HTML را بارگزاری کرده که به صورت مرحله به مرحله، نحوه فعال کردن سرویس Accessibility در اندروید 13 و بالاتر را توضیح می‌دهد. تصویر زیر تعامل بدافزار با یک دستگاه اندروید 13 را نمایش می‌دهد.

تعامل بدافزار با یک دستگاه اندروید


این قابلیت جدید نشان می‌دهد که مهاجم چگونه می‌تواند تدابیر امنیتی که برای محدود کردن اقدامات ناخواسته توسعه داده شده‌اند، به سادگی دور بزند.

اختلال در عملیات بیومتریک:
نوع جدید Chameleon یک ویژگی را با هدف قطع عملیات بیومتریک دستگاه مورد نظر ارائه می‌کند. این قابلیت با دستور "interrupt_biometric" فعال می‌شود. با دریافت این دستور، بدافزار روش "InterruptBiometric" را اجرا می‌کند که از API KeyguardManager و AccessibilityEvent برای ارزیابی صفحه گوشی و صفحه کلید استفاده کند. این متد، وضعیت قفل صفحه کلید را برای مکانیسم‌های امنیتی استفاده شده نظیر رمز عبور، پین (PIN) و الگو بررسی می‌کند. بدافزار از عمل AccessibilityEvent برای انتقال از احراز هویت بیومتریک به احراز هویت پین استفاده می‌کند. این اقدام موجب دور زدن عملیات بیومتریک شده و به تروجان اجازه می‌دهد قفل دستگاه را به دلخواه باز کند. این عمل برای مهاجم دو مزیت دارد:
•    تسهیل در سرقت پین، رمزهای عبور و الگوهای قفل از طریق Keylogger.
•    امکان باز کردن قفل دستگاه از طریق پین‌ها و رمزهای عبور قبلی از طریق Accessibility.

کد زیر، نحوه‌ی ارزیابی وضعیت KeyGuard توسط بدافزار را نشان می‌دهد:

public final void interruptBiometric(AccessibilityEvent accessibilityEvent0) {
        if (accessibilityEvent0.getPackageName() != null) {
            if (bCBFNOgmB2372b7065b5f58f8f9f.screenstatus != 1 && (KeyguardManager != null && (KeyguardManager.isKeyguardSecure()))) {
                if (getInstance.findViewByContainsID(getInstance.getRootInActiveWindow(), "lockPatternView") != null) {
                    return;
                }
                if (getInstance.findViewByContainsID(getInstance.getRootInActiveWindow(), "pinEntry") != null) {
                    return;
                }
                if (getInstance.findViewByContainsID(getInstance.getRootInActiveWindow(), "passwordEntry") != null) {
                    return;
                }
            }

ویژگی مدیریت زمان و کنترل فعالیت:
این ویژگی جدید که به نسخه جدید بدافزار Chameleon افزوده شده است، مربوط به زمان‌بندی برنامه‌ها است که از طریق AlarmManager API اجرا می‌شود. این قابلیت در نسخه‌های قبلی این بدافزار وجود نداشته است.
ویژگی منحصر به فرد این بدافزار در زمان‌بندی  Taskها، رویکرد پویا و مدیریت کارآمد Accessibility و اجرای Activity  در جهت رفتار تروجان است.
این ویژگی جدید، که از دستور جدید inejction_type  پشتیبانی می‌کند، بسته به فعال یا غیرفعال بودن قابلیت Accessibility به طور خودکار از (accessibility)"a11y"  به "usagestats" تغییر می‌کند. اگر این قابلیت فعال باشد، بدافزار از طریق "Injection" حملات overlay را اجرا می‌کند. Overlay  حملاتی هستند که برنامه‌های موبایل را هدف قرار می‌دهند. در این نوع حملات، بدافزار صفحه‌ای را برای یک برنامه مجاز باز می‌کند که برای کاربر قابل تشخیص نیست. زمانی که کاربر اعتبارنامه یا اطلاعات بانکی خود را وارد می‌کند، بدافزار می‌تواند به این اطلاعات دسترسی پیدا کند و آن‌ها را به سرقت برد.
اگر سرویس Accessibility در دستگاه غیرفعال باشد، بدافزار "a11y" را به "usagestats" تغییر می‌دهد. در این حالت، اطلاعاتی از app usage data کاربر در دستگاه‌های دارای اندروید 13 و بالاتر جمع‌آوری می‌شود تا بهترین زمان برای انجام حملات injection را انتخاب کند. این داده‌ها شامل foreground app، یک متد جایگزین برای تعیین foreground app و تصمیم‌گیری برای شروع overlay یا injection هستند.

public final void run() {
        ((AlarmManager) class.this.getApplicationContext().getSystemService("alarm")).set(0, System.currentTimeMillis() + 60000 L, PendingIntent.getBroadcast(class.this.getApplicationContext(), 5333, new Intent(class.this.getApplicationContext(), class2.class), 0xC000000));
        if (!class.accessibility_enabled(class2.class) || (class.list("inejction_type", "a11y").equals("usagestats"))) {
            if (class.usage_stats()) {
                String s = class.this.currentActivity();
                if ((class.commandlist("injection", Boolean.TRUE)) && (class.config(s)) && !false) {
                    new Handler(Looper.getMainLooper()).post(new Runnable() {
                                @Override public final void run() {
                                    ActivityThread.startActivity(new Intent(ActivityThread, class2.class).putExtra("app", this.val$lastPackage).addFlags(0x10000000).addFlags(0x8000));
                                }

محصولات تحت تأثیر
تروجان بانکی Chameleon در حال حاضر بیشترین تأثیر خود را بر روی محصولات بانکی و خدمات مالی دارد. این حملات با هدف قرار دادن برنامه‌ها و اپلیکیشن‌های بانکی، اطلاعات حساس کاربران از جمله نام کاربری، رمزعبورها، اطلاعات حساب بانکی، و سایر اطلاعات مالی را به سرقت می‌برد.

توصیه‌های امنیتی
برای پیشگیری از آلوده شدن به بدافزار Chameleon، باید از دریافت فایل‌های APK از منابع غیررسمی اجتناب شود، چرا که این، روش اصلی توزیع Zombinder  است. همچنین اطمینان حاصل شود که Play Protect همیشه فعال باشد و به صورت دوره‌ای اسکن‌های رایانه اجرا شود تا اطمینان حاصل شود که در دستگاه از نرم‌افزارها و تبلیغات مخرب استفاده نمی‌شود.

منابع خبر:


[1] https://www.threatfabric.com/blogs/android-banking-trojan-chameleon-is-back-in-action
[2] https://thehackernews.com/2023/12/new-chameleon-android-banking-trojan.html
[2] https://www.bleepingcomputer.com/news/security/android-malware-chameleon-disables-fingerprint-unloc…

کشف چند آسیب‌پذیری در نرم‌افزار رصد شبکه pandora FMS

تاریخ ایجاد

Pandora FMS نرم‌ا‌فزاری جهت نظارت بر شبکه‌های کامپیوتری است که امکان رصد بصری وضعیت و عملکرد چندین پارامتر از سیستمهای عامل، سرورها، برنامه‌های کاربردی و سیستم‌های سخت‌افزاری مختلف مانند فایروال‌ها، پروکسی‌ها، پایگاه‌های داده، وب سرورها یا روترها را فراهم می‌کند. طبق تحقیقات به عمل آمده، چند آسیب‌پذیری با شدت‌های پایین، متوسط و پرخطر در نرم‌ا‌فزار Pandora FMS کشف شده‌اند. این آسیب‌پذیری‌ها که ناشی از عدم بررسی مناسب ورودی می‌باشند، به مهاجم امکان اجرای حملات تزریق کد جاوااسکریپت(XSS) و SQL را می‌دهند.این آسیب‌پذیری‌ها به شرح ذیل می‌باشند:
 

  •     CVE-20230-41813: به مهاجم امکان ویرایش اعلانات کاربر در کنسول وب را می‌دهد. شدت  این آسیب‌پذیری CVSS 3.0 می‌باشد.
  •     CVE-20230-41814: هنگامی که کاربر قربانی اعلان‌های خود را باز می‌کند، از طریق یک payload HTML (تگ iframe) می‌توان حملات XSS را انجام داد و کد مخرب بر دستگاه کاربر اجرا می‌شود. شدت  این آسیب‌پذیری CVSS 3.7 می‌باشد.
  •     CVE-20230-41815: در صورت بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری، می‌توان کدهای مخرب را در بخش مدیریت فایل اجرا کرد. شدت  این آسیب‌پذیری CVSS 7.5 می‌باشد.
  •     CVE-20230-44088: این نقص امنیتی مربوط به تزریق کد SQL می‌باشد و به مهاجم با هر سطح دسترسی (هرچند پایین) اجازه اجرای این حملات را می‌دهد. شدت  این آسیب‌پذیری CVSS 5.9 می‌باشد.
  •     CVE-20230-44089: این آسیب‌پذیری نیز امکان اجرای حملات XSS توسط مهاجم را فراهم خواهد کرد و امتیاز  آن CVSS 6.1 می‌باشد.

محصولات تحت تأثیر
کلیه آسیب‌پذیری‌های فوق‌الذکر، نسخه‌های 700 الی 774 نرم‌افزار Pandora FMS را تحت تأثیر خود قرار می‌دهند.

توصیه‌های امنیتی 
به کاربران توصیه می‌شود در اسرع وقت نرم‌افزار Pandora FMS را به نسخه‌های بالاتر از 774 ارتقاء دهند.

منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2023-41813 
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-41814
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-41815
[4] https://nvd.nist.gov/vuln/detail/CVE-2023-44088
[5] https://nvd.nist.gov/vuln/detail/CVE-2023-44089    

بهره‌برداری مهاجمان از پروتکل MSIX برای حمله به کاربران ویندوز

تاریخ ایجاد

مایکروسافت بار دیگر به دنبال فعالیت‌های مخرب توسط مهاجمانی با انگیزه مالی، گامی برای غیر فعال کردن پروتکل MSIX ms-appinstaller برداشته است.
مهاجمان از یک آسیب‌پذیری با شناسه CVE-2021-43890 و شدت  7.1 در Windows AppX Installer برای دور زدن پروتکل‌های امنیتی تعیین شده برای محافظت از کاربران ویندوز در برابر تهدیدات مخرب، بهره‌برداری کردند، از جمله دور زدن مؤلفه ضد فیشینگ و ضد بدافزار Defender SmartScreen و همچنین هشدارهای مرورگر برای هشدار به کاربران در مورد خطرات احتمالی مرتبط با دانلود فایل‌های اجرایی.
نحوه بهره‌برداری از این آسیب‌پذیری به این شرح است که یک مهاجم می‌تواند با ایجاد یک پیوست مخرب، کاربر را متقاعد کند که این پیوست جعلی را باز کرده و با هر سیاستی که در طراحی باج‌افزار خود به کاربرده است، کاربر را مورد اخاذی قرار دهد.
 

توصیه‌های امنیتی
شرکت مایکروسافت نصب App installer نسخه 1.21.3421.0 یا بالاتر را برای ارتقاء امنیت سیستم‌های خود، به کاربران توصیه می‌کند.
این شرکت همچنین به کاربرانی که نمی‌توانند در اسرع وقت App installer را به آخرین نسخه به‌روزرسانی کنند، توصیه کرده است که با تنظیم Group Policy EnableMSAppInstallerProtocol روی Disabled، این پروتکل را غیرفعال کنند.


منابع خبر:


[1]  https://www.bleepingcomputer.com/news/microsoft/microsoft-disables-msix-protocol-handler-abused-in-…
[2]  https://msrc.microsoft.com/update-guide/advisory/CVE-2021-43890