افزایش بهره‌برداری از سرویس TryCloudflare جهت انتقال بدافزار

تاریخ ایجاد

سرویس TryCloudflare یک ابزار رایگان محصول شرکت Cloudflare است که به کاربران اجازه می‌دهد تا به‌صورت سریع و آسان یک تونل امن (Secure Tunnel) از دستگاه یا سرور خود به اینترنت ایجاد کنند. این تونل به کاربران امکان می‌دهد تا بدون نیاز به پیکربندی پیچیده یا تغییر تنظیمات شبکه، دسترسی راه دور به برنامه‌ها، سرورها و دیگر منابعی که در شبکه محلی قرار دارند را بدست آورند.
اخیرا، شرکت‌های امنیت سایبری از افزایش بهره‌برداری از سرویس رایگان TryCloudflare برای انتقال و تحویل بدافزار خبر داده‌اند. طبق گزارش‌های منتشرشده، مهاجمان با استفاده از این سرویس توانسته‌اند ترافیک خود را از سرورهای تحت کنترل خود به دستگاه‌های قربانی منتقل کرده و از زیرساخت‌های Cloudflare برای مخفی کردن فعالیت‌های مخرب استفاده کنند.
حملات سایبری که با استفاده از این روش انجام شده‌اند، تاکنون منجر به انتقال بدافزارهای متعددی از جمله AsyncRAT، GuLoader، PureLogs Stealer، Remcos RAT، Venom RAT و XWorm شده‌اند. این حملات معمولاً با ارسال ایمیل‌های فیشینگ با طیف گسترده‌ای از موضوعات مانند فاکتورها، درخواست‌های اسناد، تحویل بسته‌ها و مالیات آغاز می‌شوند. این ایمیل‌ها حاوی فایل‌های ZIP هستند که یک فایل URL Shortcut در آن‌ها قرار داده شده ‌است. پس از کلیک کاربر روی این فایل، او به یک فایل میانبر ویندوز (LNK) هدایت می‌شود که بر روی یک سرور WebDAV مستقر است که از طریق TryCloudflare محافظت می‌شود.
فایل‌های LNK یا "Windows Shortcut" فایل‌هایی هستند که توسط ویندوز برای اشاره به فایل‌های اجرایی استفاده می‌شوند. مهاجمان از این فایل‌ها برای اجرای کدهای مخرب استفاده می‌کنند، به‌ این نحو ‌که با کلیک بر روی فایل LNK، کدهای دیگری مانند اسکریپت‌های دسته‌ای (Batch Scripts) اجرا می‌شوند.
 اسکریپت‌ها مسئولیت دریافت و اجرای payloadهای بدافزار را دارند که به زبان پایتون نوشته شده‌اند. در این میان، به منظور فریب کاربر، یک فایل PDF جعلی را نیز نمایش می‌دهند. بسته‌ی پایتون و اسکریپت‌های مرتبط، پس از دانلود بر روی سیستم قربانی اجرا شده و بدافزارهایی مانند AsyncRAT و XWorm را نصب می‌کنند. سپس بدافزار اقدام به جمع‌آوری اطلاعات حساس از شبکه داخلی شرکت کرده و این اطلاعات را از طریق تونل Cloudflare به سرورهای مهاجمان در خارج از شبکه ارسال می‌کند.
محققان اشاره می‌کنند که مهاجمان برای جلوگیری از شناسایی شدن، تکنیک‌های پیچیده‌ای مانند استفاده از syscallهای مستقیم برای دور زدن ابزارهای نظارتی و تزریق کد به روش "Early Bird APC queue injection" و اجرای مخفیانه‌ی بدافزارهای مختلف با کمک لایه‌های کد رمزنگاری‌شده را به کار می‌برند.
تزریق کد به روش "Early Bird APC queue injection"  یک تکنیک است که به مهاجم اجازه می‌دهد تا کد مخرب خود را در مراحل اولیهی اجرای یک برنامه به درون حافظه تزریق کند. به این ترتیب از شناسایی شدن توسط ابزارهای امنیتی جلوگیری می‌شود.
استفاده از تونل‌های موقت Cloudflare به جهت این که شرایطی فراهم می‌کند تا مهاجمان زیرساخت‌های خود را به سرعت ایجاد کرده و از بین ببرند، شناسایی و مسدودسازی حمله‌ را برای مدافعان امنیتی دشوارتر می‌سازد.
همچنین میزبانی فایل‌های مخرب بر روی سرویس Cloudflare به این دلیل که این سرویس شناخته‌شده و معتبر است، باعث می‌شود که ترافیک مرتبط با این فایل‌ها به نظر قانونی و معتبر بیافتد و کمتر مشکوک به نظر برسد.

توصیه‌های امنیتی
با توجه به پیچیدگی و تنوع تکنیک‌های استفاده‌شده در این حملات، توصیه می‌شود که سازمان‌ها دسترسی به سرویس‌های به اشتراک‌گذاری فایل‌های خارجی را به سرورهای مشخص و مجاز محدود کنند. همچنین، لازم است تدابیر امنیتی همچون نظارت بر فعالیت‌های غیرعادی در سیستم و ترافیک شبکه، محدودسازی دسترسی به فایل‌ها و مسیرهای حساس و استفاده از محیط‌های ایزوله‌شده مانند Docker برای اجرای بسته‌های نرم‌افزاری، به منظور جلوگیری از نفوذ بدافزارها و کاهش آسیب‌های احتمالی اتخاذ گردند.
 

منابع خبر:


[1] https://thehackernews.com/2024/08/cybercriminals-abusing-cloudflare.html
[2] https://www.bleepingcomputer.com/news/security/hackers-abuse-free-trycloudflare-to-deliver-remote-a…

کشف آسیب‌پذیری در Apache InLong

تاریخ ایجاد

Apache InLong یک پروژه منبع باز است که برای مدیریت و پردازش جریان داده‌های بزرگ طراحی شده است. این پروژه برای تجزیه و تحلیل داده‌های بزرگ، مدیریت داده‌های توزیع‌شده، نظارت بر عملکرد سیستم‌ها و پردازش داده‌های تولید شده توسط دستگاه‌های اینترنت اشیاء (IoT) کاربرد دارد.
اخیراً یک آسیب‌پذیری خطرناک در Apache InLong با شناسه CVE-2024-36268 شناسایی شده است که یک نقص امنیتی تزریق کد (Code Injection) می‌باشد. این آسیب‌پذیری که از عدم اعتبارسنجی صحیح ورودی‌ها ناشی می‌شود، به دلیل امکان اجرای کدهای دلخواه از راه دور (RCE) توسط مهاجمان، بسیار خطرناک ارزیابی شده‌ است. این نوع حمله به مهاجمان دسترسی کامل به سیستم قربانی را می‌دهد و می‌تواند به دسترسی غیرمجاز به داده‌ها، تغییرات در سیستم، و حتی کنترل کامل سرور منجر شود. علاوه بر این، افشای اطلاعات حساس، تغییر یا حذف داده‌ها، و اختلال در سرویس‌های حیاتی از دیگر اثرات بالقوه این آسیب‌پذیری است که می‌تواند تأثیرات گسترده‌ای بر سیستم‌های آسیب‌پذیر داشته باشد.
 

محصولات تحت تاثیر
این آسیب‌پذیری در نسخه‌های Apache InLong از 1.10.0 تا 1.12.0 وجود دارد.

توصیه‌های امنیتی
برای کاهش تهدید این آسیب‌پذیری، به‌روزرسانی هرچه سریعتر به نسخه‌های Apache InLong 1.13.0 و بالاتر توصیه می‌گردد.
 

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-36268

کشف آسیب‌پذیری در openstack-heat

تاریخ ایجاد

آسیب‌پذیری CVE-2024-7319 در openstack-heat به دلیل وصلة ناقص برای آسیب‌پذیری قبلی CVE-2023-1625 رخ داده است که امکان افشای اطلاعات حساس از طریق دستور OpenStack stack abandon را فراهم می‌کند. با وجود اعمال وصلة قبلی، مهاجمان هنوز هم می‌توانند با تنظیم ویژگی hidden روی True در این دستور، به اطلاعات حساس دسترسی پیدا کنند. این آسیب‌پذیری با شدت CVSS v3: 7.4 (بالا) ارزیابی شده است و می‌تواند منجر به حملات دیگری مانند دسترسی غیرمجاز به سیستم شود.

محصولات تحت‌تأثیر
نسخه‌های زیر تحت‌تأثیر این آسیب‌پذیری هستند:
•    13
•    16.1
•    16.2
•    17.0

توصیه‌های امنیتی
•    به ‌محض انتشار وصله کامل برای CVE-2024-7319 توسط توسعه‌دهندگان OpenStack، سیستم خود را به نسخه اصلاح‌شده ارتقا دهید.
•    تا زمان انتشار وصله کامل، از تنظیم ویژگی hidden روی True در دستور OpenStack stack abandon خودداری کنید.

منابع خبر:


[1]    https://nvd.nist.gov/vuln/detail/CVE-2024-7319
[2]    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-7319
[3]    https://access.redhat.com/security/cve/CVE-2024-7319

BITSLOTH: یک درب پشتی جدید و پیشرفته با هدف سیستم‌های ویندوز

تاریخ ایجاد

درب پشتی (Backdoor) نوعی نرم‌افزار یا روش دسترسی به یک سیستم کامپیوتری است که به کاربر اجازه می‌دهد بدون نیاز به تأییدیه‌های امنیتی معمول، وارد سیستم شود. در زمینه امنیت سایبری، درب پشتی معمولاً به کدی اشاره دارد که به‌ طور مخفیانه در نرم‌افزار یا سیستم تعبیه می‌شود تا به مهاجم اجازه دسترسی غیرمجاز به سیستم را بدهد.
محققان اخیراً یک درب پشتی جدید به نام BITSLOTH در ویندوز کشف کرده‌اند که سیستم‌های ویندوزی را هدف قرار می‌دهد و از سرویس Background Intelligent Transfer Service (BITS) برای عملیات فرمان و کنترل (C2) بهره می‌برد. عملیات فرمان و کنترل (C2) فرآیندی است که در آن مهاجمان سایبری، پس از نفوذ به یک سیستم، ارتباطات خود را با سیستم‌های آلوده حفظ می‌کنند و از طریق آن، دستورات خود را ارسال و اطلاعات را دریافت می‌کنند. این کانال به مهاجم امکان می‌دهد تا دستورات مختلفی مانند اجرای بدافزارهای جدید، جمع‌آوری اطلاعات حساس یا دستکاری فایل‌ها را صادر کند.
 BITS یک سرویس ویندوزی است که برای انتقال فایل‌ها به صورت غیرهمزمان بین دستگاه‌ها طراحی شده است. این سرویس به‌ویژه برای دانلود به‌روزرسانی‌ها و انتقال داده‌ها با کمترین تأثیر بر عملکرد شبکه کاربرد دارد. BITS قابلیت مدیریت قطعی‌های شبکه را نیز داراست و می‌تواند انتقال‌ها را پس از بازگشت اتصال ادامه دهد، حتی اگر سیستم مجددا راه‌اندازی شده ‌باشد.
BITSLOTH از یک پروژه‌ی بارگذاری شل‌کد برای اجرای مخفیانه و عبور از مکانیزم‌های امنیتی سنتی استفاده می‌کند. در حین حرکت جانبی در شبکه، BITSLOTH به عنوان یک فایل DLL (به نام flengine.dll) وارد سیستم شده و با استفاده از تکنیک Side-Loading، این فایل مخرب را از طریق یک برنامه‌ به نام FL Studio بارگذاری و اجرا می‌کند. FL Studio یک برنامه‌ی معتبر برای تولید موسیقی است که نصب آن برای کاربران متداول است. مهاجمان به نحوی با استفاده از این برنامه کد مخرب BITSLOTH را اجرا می‌کنند، که این فرآیند به عنوان بخشی از عملکرد معمولی نصب FL Studio به نظر می‌رسد.
در توضیح حرکت جانبی (Lateral Movement) باید گفت این روش به فرآیندی اشاره دارد که در آن مهاجم پس از به دست آوردن دسترسی اولیه به یک سیستم، تلاش می‌کند به سایر سیستم‌های موجود در شبکه دسترسی پیدا کند تا دامنه‌ی نفوذ خود را در شبکه گسترش داده و به منابع ارزشمندتر، مانند سرورها، پایگاه‌های داده و سیستم‌های مدیریتی، دسترسی یابد.
BITSLOTH دارای 35 فرمان مختلف است و از جمله قابلیت‌های کلیدی آن می‌توان به این موارد اشاره کرد:

  •  جمع‌آوری داده‌ها: شامل ضبط کلیدهای فشرده شده (keylogging)، عکس‌برداری از صفحه نمایش و جمع‌آوری اطلاعات سیستم.
  • Keylogging، یک روش جاسوسی دیجیتال است که در آن هر چیزی که کاربر روی صفحه‌کلید خود تایپ می‌کند، ثبت می‌شود. این اطلاعات می‌تواند شامل رمزهای عبور، پیام‌های شخصی، اطلاعات بانکی و سایر داده‌های حساس باشد.
  •   اجرا و فرماندهی: امکان اجرای دستورات، آپلود و دانلود فایل‌ها.
  •   پایداری: استفاده از BITS برای حفظ دسترسی مداوم به سیستم.

علاوه بر این، BITSLOTH می‌تواند حالت ارتباط را به HTTP یا HTTPS تنظیم کند، فرآیندهای دلخواه را خاتمه دهد، کاربران را از سیستم خارج کند، سیستم را مجدداً راه‌اندازی یا خاموش کند، و حتی خود را به‌روزرسانی کرده یا از سیستم میزبان حذف کند.
این بدافزار همچنین با ایجاد و مدیریت کارهای BITS که به ظاهر بی‌ضرر هستند و شبیه به وظایف به‌روزرسانی ویندوز به نظر می‌رسند، از شناسایی شدن اجتناب می‌کند. به عنوان مثال، کارهای موجود با نام‌هایی مثل "WU Client Download" را لغو می‌کند و کارهای جدیدی با نام‌های مشابه ایجاد می‌کند. این کارها به طور مخفیانه با سرورهای فرمان و کنترل(C2) ارتباط برقرار کرده و ترافیک مخرب را با ترافیک عادی شبکه ترکیب می‌کنند.
به گفته‌ی محققان، استفاده از BITSLOTH و بهره‌برداری آن از سرویس BITS برای مهاجمان جذاب است، زیرا این سرویس به دلیل کاربردهای مشروعش معمولاً از نظارت‌های امنیتی عبور می‌کند. بسیاری از سازمان‌ها در تشخیص تفاوت بین ترافیک عادی BITS و فعالیت‌های مخرب مشکل دارند، که این امکان را به مهاجمان می‌دهد تا برای مدت طولانی در شبکه باقی بمانند و فعالیت‌های خود را پنهان کنند.

محصولات تحت تاثیر
سیستم‌ها و سرورهای ویندوزی، ممکن است هدف این حمله قرار بگیرند.

توصیه‌های امنیتی
برای جلوگیری از اثرات بدافزاری مانند BITSLOTH، موارد ذیل توصیه می‌گردند:

  •  نظارت دقیق و مستمر بر ترافیک سرویس BITS.
  •  استفاده از ابزارهای تحلیل ترافیک شبکه برای بررسی و تحلیل ترافیک BITS.
  •  تنظیم مجدد مجوزهای دسترسی به سرویس BITS و غیرفعال‌سازی آن در سیستم‌هایی که به آن نیاز ندارند.
  •  پیاده‌سازی سامانه‌های EDR (Endpoint Detection and Response) پیشرفته برای شناسایی رفتارهای مشکوک و و پاسخ به تهدیدات امنیتی در نقاط انتهایی شبکه (مانند رایانه‌های شخصی و سرورها).
  •  استفاده از قوانین YARA ارائه شده توسط Elastic Security Labs برای شناسایی BITSLOTH.
  •  محدودسازی اجرای فایل‌های DLL از مسیرهای غیرمجاز.
  •  محدودسازی مجوز‌های دسترسی به سیستم‌ها و اطلاعات حساس.
     

منابع خبر:


[1] https://thehackernews.com/2024/08/new-windows-backdoor-bitsloth-exploits.html
[2] https://www.elastic.co/security-labs/bits-and-bytes-analyzing-bitsloth
[3] https://cyberinsider.com/novel-windows-backdoor-bitsloth-exploits-bits-for-c2-operations/

کشف آسیب‌پذیری افزایش سطح دسترسی در افزونه JetFormBuilder

تاریخ ایجاد

یک آسیب‌پذیری با شناسه  CVE-2024-7291 و شدت 7.2 در افزونه JetFormBuilder کشف شده است.  JetFormBuilder یک پلاگین فرم‌ساز برای وردپرس است که به کاربران و توسعه دهندگان قابلیت‌های متنوعی از جمله ایجاد فرم‌های چندمرحله‌ای، فرم‌های سفارشی، ادغام با سرویس‌های مختلف و تنظیمات پیشرفته برای فیلدهای فرم را ارائه می‌دهد. این آسیب‌پذیری به دلیل محدودیت نامناسب در فیلدهای متای کاربر رخ می‌دهد و منجر به ارتقاء سطح دسترسی مهاجم می‌گردد. در سایت‌هایی که به‌ صورت شبکه‌ای پیکربندی شده‌اند  امکان ثبت‌نام مهاجم احراز هویت‌شده با سطح دسترسی مدیر به‌عنوان کاربری با سطح دسترسی بالاتر از مدیر را فراهم می‌کند.
براساس بردار حمله این آسیب‌پذیری AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H پیچیدگی حمله پایین است و مهاجم می‌تواند از راه دور حمله را انجام دهد. بهره‌برداری از این آسیب‌پذیری نیازمند دسترسی به سطح بالایی از مجوزها است. آسیب‌پذیری تأثیر بالایی بر محرمانگی دارد، مهاجم می‌تواند به اطلاعات حساس دسترسی پیدا کند و داده‌ها را دستکاری کند. بنابراین می‌تواند تأثیرات شدیدی بر محرمانگی، یکپارچگی، و دسترس‌پذیری سیستم داشته باشد.
 

محصولات تحت تأثیر
این آسیب‌پذیری نسخه  3.3.4.1 و تمام نسخه‌‌های قبلی افزونه JetFormBuilder را تحت تاثیر قرار می‌دهد.
 

توصیه‌های امنیتی
به کاربران توصیه می‌شود افزونه را به نسخه 3.3.4.2 به‌روزرسانی کنند.
 

منابع خبر:

 

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-7291
[2] https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/jetformbuilder/jetformbuil…

انتشار به‌روزرسانی امنیتی مایکروسافت جهت رفع سه آسیب‌پذیری در مرورگر Edge

تاریخ ایجاد

مایکروسافت چندین آسیب‌پذیری بحرانی را در مرورگرEdge  مبتنی بر کرومیوم (Chromium-based) برطرف کرده است. آسیب‌پذیری‌های مذکور، می‌توانند به مهاجمان امکان اجرای کد دلخواه یا دسترسی به حافظه خارج از محدوده out-of-bounds (OOB) را از طریق محتوای HTML جعلی بدهند. جزئیات آسیب‌پذیری‌ها به شرح زیر است:
•    نقص اعتبارسنجی نامناسب داده در Dawn با شناسه CVE-2024-7256 و شدت 8.8 :
این نقص امنیتی به مهاجمان اجازه می‌دهد تا با بهره‌برداری از نقص اعتبارسنجی نامناسب داده در مؤلفه Microsoft Edge’s Dawn، کد دلخواه را اجرا کنند. محتوای جعلی HTML می‌تواند این نقص را ایجاد کرده و منجر به خطر افتادن سیستم شود.
•    نقص Uninitialized Use در Dawn با شناسه CVE-2024-6990 و شدت 8.8 :
یک آسیب‌پذیری Uninitialized Use در مؤلفه Dawn است که به مهاجمان اجازه می‌دهد تا به حافظه OOB دسترسی پیدا کنند. این نقص امنیتی را می‌توان با استفاده از HTML جعلی، مورد بهره‌برداری قرار داد که به طور بالقوه منجر به بی ثباتی سیستم یا بهره برداری بیشتر می شود.
•    نقص امنیت در ویژگی WebTransport با شناسه CVE-2024-7255 :
یک آسیب‌پذیری در ویژگی WebTransport مرورگر Edge که به مهاجمان اجازه می‌دهد تا از طریق HTML جعلی، به حافظه OOB دسترسی داشته باشند. این نقص می‌تواند برای به خطر انداختن امنیت سیستم آسیب‌دیده استفاده شود.

 محصولات تحت تأثیر
این آسیب‌پذیری‌ها، نسخه‌های 127.0.6533.88 و 127.0.6533.89 مرورگر Edge را تحت تاثیر قرار می‌دهند.

توصیه‌های امنیتی
شرکت مایکروسافت وصله‌هایی را برای رفع این آسیب‌پذیری‌ها در آخرین به‌روزرسانی خود منتشر کرده است. به کاربران توصیه می‌شود که به‌روزرسانی‌ها را از طریق ویژگی Windows Update یا با مراجعه به وب سایت رسمی مایکروسافت دانلود و نصب کنند. نسخه 127.0.6533.88/89 مرورگر Edge جهت رفع نقص‌های امنیتی ذکر شده در دسترس کاربران قرار گرفته است. از کاربران Microsoft Edge خواسته شده است که فورا مرورگرهای خود را به‌روز کنند تا از سیستم‌های خود در برابر بهره‌برداری‌های احتمالی محافظت کنند.

منبع خبر:

https://gbhackers.com/microsoft-patched-a-critical-edge-flaw/

کشف چند آسیب‌پذیری با شدت بالا در نصب‌کننده Splashtop Streamer

تاریخ ایجاد

SplashTop یکی از نرم‌افزارهای مدیریت و کنترل سیستم از راه دور است. نسخه Personal این نرم‌افزار را می‌توان به منظور دسترسی به سیستم‌های موجود در شبکه‌های محلی خانگی (Local) مورد استفاده قرار داد.
اخیرا چند آسیب‌پذیری با شدت‌های بالا در نصب‌کننده‌ی این نرم‌افزار کشف شده‌اند که همگی آن‌ها از استفاده‌ی این نصب‌کننده از پوشه‌ای موقت با دسترسی‌های ضعیف برای ذخیره و بارگذاری فایل‌ها ناشی می‌شوند و امکان ارتقاء سطح دسترسی مهاجم به سطح دسترسی SYSTEM را فراهم می‌کند.
با ارتقاء سطح دسترسی به SYSTEM، مهاجم می‌تواند به تمام فایل‌ها و تنظیمات سیستمی دسترسی پیدا کند. این دسترسی کامل، شامل دسترسی به اطلاعات حساس و قابلیت‌های مدیریت سیستم نیز می‌شود. همچنین می‌تواند کد دلخواه خود را با سطح دسترسی SYSTEM اجرا کند. این به معنای امکان نصب بدافزار، تغییرات مخرب در تنظیمات سیستم، و یا بهره‌برداری از سیستم برای اهداف دیگر است. به علاوه، قادر خواهد بود تغییراتی در رجیستری ویندوز ایجاد کند یا با اجرای کدهای دلخواه باعث آسیب زدن به سیستم‌عامل، داده‌ها، و عملکرد کلی سیستم شود.
رجیستری ویندوز (Windows Registry) یک پایگاه داده‌ی سلسله ‌مراتبی و متمرکز است که تنظیمات پیکربندی و اطلاعات حیاتی برای سیستم‌عامل ویندوز و نرم‌افزارهای نصب‌شده روی آن را ذخیره می‌کند. این پایگاه داده به عنوان یک هسته مرکزی برای مدیریت تنظیمات سیستم‌عامل، دستگاه‌های سخت‌افزاری، برنامه‌ها و کاربران عمل می‌کند.
هرگونه تغییر نادرست در رجیستری می‌تواند منجر به ناپایداری سیستم، خطاهای اجرایی، اجرای نامناسب نرم‌افزارها یا حتی ناتوانی در راه‌اندازی سیستم‌عامل شود. مهاجمان می‌توانند از رجیستری برای نصب بدافزار، تغییر تنظیمات امنیتی، و ایجاد دسترسی‌های غیرمجاز استفاده کنند. برای مثال، تنظیمات Startup در رجیستری می‌توانند برای اجرای برنامه‌های مخرب در هر بار راه‌اندازی سیستم استفاده شوند. در ادامه، توضیحات 4 مورد آسیب‌پذیری ذکر شده آورده شده است.
 

  •  CVE-2024-42050:

این آسیب‌پذیری با شدت بالا و امتیاز CVSS 7.0 ارزیابی شده‌ است. همانطور که گفته شد، در فرآیند نصب نرم‌افزار، نصب‌کننده MSI از پوشه‌ای موقت با دسترسی‌های ضعیف برای ذخیره و بارگذاری فایل‌ها استفاده می‌کند. این پوشه‌ی موقت معمولاً در دایرکتوری %TEMP% قرار دارد و کاربران می‌توانند به آن دسترسی پیدا کنند و فایل‌هایی را در این پوشه قرار داده یا تغییر دهند.
در طی نصب، فایل CredProvider_Inst.reg از این پوشه‌ی موقت بارگذاری می‌شود. این فایل REG می‌تواند مقادیر و کلیدهای جدیدی را به رجیستری ویندوز اضافه کند. اگر فایل MSI نصب‌کننده هنوز در مکان اصلی خود موجود باشد یا مهاجم بتواند فایل را دوباره به آن مکان بازگرداند، می‌تواند فرآیند نصب را دوباره اجرا کند. در این صورت، موفق خواهد شد با تنظیم قفل‌های موقت (oplocks) روی فایل CredProvider_Inst.reg، آن را با محتوای دلخواه تغییر دهد.
Oplock (Opportunistic Lock) مکانیزمی برای بهبود عملکرد سیستم‌های فایل در سیستم‌عامل‌های ویندوز است. این مکانیزم به برنامه‌ها اجازه می‌دهد تا با قرار دادن قفل‌هایی موقت روی فایل‌ها از تغییرات همزمان توسط سایر برنامه‌ها جلوگیری کرده و در نتیجه عملکرد بهتری داشته باشند. مهاجمان می‌توانند با بهره‌برداری از ویژگی Oplock فایل‌های حساس را در مسیرهای موقتی جایگزین کنند. این کار امکان اینکه آن‌ها کد دلخواه خود را در سطح سیستمی اجرا کنند را فراهم می‌کند. علی الخصوص در فرآیندهای نصب نرم‌افزار که از پوشه‌های موقت استفاده می‌کنند، اگر مهاجم بتواند با تنظیم Oplock روی فایل‌های مورد نظر، آن‌ها را تغییر دهد، می‌تواند به ارتقاء سطح دسترسی یا اجرای کد دلخواه در سطح بالاتری برسد.
نصب‌کننده MSI فایل CredProvider_Inst.reg تغییر یافته را بارگذاری کرده و آن را به رجیستری اضافه می‌کند. اگر مهاجم بتواند محتوای این فایل REG را به‌گونه‌ای تغییر دهد که به طور غیرمستقیم به اجرای کد دلخواه منجر شود (مثلاً با تغییر مسیر اجرای برنامه‌های سیستمی)، می‌تواند سطح دسترسی SYSTEM را برای خود فراهم سازد.
 

  •  CVE-2024-42051:

این آسیب‌پذیری با شدت بالا و امتیاز CVSS 7.8 ارزیابی شده ‌است. در این مورد، در فرآیند نصب، فایل InstRegExp.reg از پوشه موقتی که در دایرکتوری %TEMP% قرار دارد بارگذاری شده و به رجیستری ویندوز اضافه می‌شود. مهاجم می‌تواند فایل SetupUtil.exe را که جزء اصلی فرآیند نصب است از پوشه موقت حذف کرده و به ‌جای آن یک فایل .reg با همان نام قرار دهد. در این حالت، نصب‌کننده با نگاه به پوشه موقت، فایل .reg تغییر یافته را بارگذاری می‌کند. با این کار، مهاجم خواهد توانست محتوای فایل InstRegExp.reg را به‌گونه‌ای تغییر دهد که مقادیر یا کلیدهای دلخواه را به رجیستری اضافه کند تا به اجرای کد دلخواهش در سیستم منجر شود یا به تغییر مسیر اجرای برنامه‌های سیستم کمک کند.
 

  •  CVE-2024-42052:

در این آسیب‌پذیری نیز که با شدت بالا و امتیاز CVSS 7.8 ارزیابی شده ‌است، در طی فرآیند نصبsplashtop ، اگر فایل اجرایی wevtutil.exe در مسیر صحیح وجود نداشته باشد، نصب‌کننده تلاش می‌کند این فایل را از پوشه موقت %TEMP% بارگذاری کند. مهاجم می‌تواند از این موضوع بهره‌برداری کرده و یک فایل اجرایی مخرب با نام wevtutil.exe را در پوشه موقت قرار دهد. نصب‌کننده MSI این فایل مخرب را با دسترسی سیستمی (SYSTEM) اجرا می‌کند و امکان کنترل سیستم و اجرای کدهای دلخواه را برای مهاجم فراهم می‌آورد.
 

  • CVE-2024-42053:

در این آسیب‌پذیری که با شدت بالا و امتیاز CVSS 7.8 ارزیابی شده ‌است، مهاجم می‌تواند در طی فرآیند نصب، از طریق نصب‌کننده یک فایل DLL به نام version.dll را در صورتی که در پوشه‌ی موقت موجود باشد، بارگذاری کند. وقتی بارگذاری با موفقیت انجام شود، کد مخرب موجود در فایل DLL با سطح دسترسی SYSTEM اجرا می‌شود و امنیت سیستم را به خطر می‌اندازد.

محصولات آسیب‌پذیر
در شناسه CVE-2024-42050: نسخه‌های قبل از 3.7.0.0 آسیب‌پذیر هستند.
 در شناسه CVE-2024-42051: نسخه‌های قبل از 3.6.2.0 آسیب‌پذیر هستند.
در شناسه CVE-2024-42052: نسخه‌های قبل از 3.5.8.0 آسیب‌پذیر هستند.
در شناسه CVE-2024-42053: نسخه‌های قبل از 3.6.0.0آسیب‌پذیر هستند.

توصیه‌های امنیتی
برای کاهش خطر این آسیب‌پذیری‌ها، در ابتدا توصیه می‌شود نرم‌افزار به آخرین نسخه‌ی موجود به‌روزرسانی شود. همچنین محدودسازی دسترسی کاربران به پوشه‌های موقتی مانند %TEMP% جهت جلوگیری از قابلیت ایجاد تغییر در آن‌ها توصیه می‌گردد. ضمن ارائه‌ی حداقل سطح دسترسی به هر نرم‌افزار، باید در فرایند نصب دقت شود که فایل مشکوکی در پوشه‌های نصب موجود نباشد. به این منظور می‌توان از نرم‌افزارهای امنیتی و ابزارهای بررسی و اسکن خودکار بدافزار نیز‌ استفاده کرد.

منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-42050
[2] https://github.com/SpacePlant/Vulns/blob/main/Advisories/2024/4.md
[3] https://github.com/SpacePlant/Vulns/blob/main/Advisories/2024/3.md
[4] https://github.com/SpacePlant/Vulns/blob/main/Advisories/2024/1.md
[5] https://github.com/SpacePlant/Vulns/blob/main/Advisories/2024/2.md

بسته مخرب PyPI با هدف سیستم‌های macOS برای سرقت اعتبارنامه Google Cloud

تاریخ ایجاد

محققان امنیت سایبری اخیراً یک بسته مخرب در یکی از پکیج‌های مخزن Python Package Index (PyPI) کشف کرده‌اند که سیستم‌های macOS اپل را هدف قرار می‌دهد و قصد سرقت اعتبارنامه‌های Google Cloud کاربران را دارد. این بدافزار از طریق یک بسته نرم‌افزاری مخرب به نام "lr-utils-lib" به سیستم قربانی منتقل می‌شود. این بسته توسط مهاجمان در مخزن PyPI (Python Package Index) قرار داده می‌شود. PIPY از منابع اصلی برای توسعه‌دهندگان پایتون است تا کتابخانه‌ها و بسته‌های مورد نیاز خود را دانلود و استفاده کنند.
روند اجرای حمله به این شکل است که ابتدا قربانی، که معمولاً یک توسعه‌دهنده نرم‌افزار است، بسته‌ی "lr-utils-lib" را از مخزن PyPI دانلود و نصب می‌کند. این بسته به ظاهر بی‌خطر است، اما  درونش کد مخرب قرار داده شده است. پس از نصب بسته، کد مخرب که در فایل setup.py قرار دارد، به صورت خودکار اجرا می‌شود. این کد ابتدا  بررسی می‌کند که روی سیستم macOS اجرا ‌شود. اگر تأیید شد که سیستم macOS است، کد مخرب شناسه‌ی منحصربه‌فرد دستگاه (UUID) را استخراج می‌کند. سپس این UUID را با استفاده از الگوریتم SHA-256 هش (Hash) می‌کند (هش کردن یک روش رمزنگاری است که داده‌ها را به یک سری اعداد و حروف تبدیل می‌کند).
هش تولید شده با یک لیست از پیش تعیین شده از هش‌های دستگاه‌های هدف مقایسه می‌شود که نشان‌دهنده‌ی استراتژی حمله بسیار هدفمند است و حاکی از این است که مهاجمان پیش از این، دانش کافی از سیستم‌های قربانیان موردنظر خود دارند.
اگر UUID دستگاه قربانی با یکی از هش‌های موجود در لیست مطابقت داشته باشد (دستگاه قربانی از دستگاه‌های هدف مهاجمان باشد)، فرآیند خروج داده‌ها توسط بدافزار آغاز می‌شود. این بدافزار تلاش می‌کند به دو فایل حیاتی application_default_credentials.json و credentials.db در مسیر ~/.config/gcloud دسترسی پیدا کند. این فایل‌ها معمولاً حاوی داده‌های حساس احراز هویت Google Cloud هستند. سپس این اطلاعات از طریق یک درخواست POST HTTPS به سرور راه دور ارسال می‌شود.
در نهایت، این فرآیند به مهاجمان اجازه می‌دهد تا بدون اطلاع قربانی به اطلاعات حساس دسترسی پیدا کرده و آن‌ها را برای سوءاستفاده‌های بعدی به سرورهای خود منتقل کنند. این حمله به خوبی نشان می‌دهد که چگونه یک بسته‌ی نرم‌افزاری به ظاهر بی‌ضرر می‌تواند به عنوان یک ابزار مخرب برای سرقت اطلاعات مهم و حساس به کار رود.

توصیه‌های امنیتی
برای جلوگیری از تاثیرات مخرب این بدافزار، موارد ذیل توصیه می‌گردند:

  •  دانلود بسته‌های نرم‌افزاری از منابع معتبر و رسمی مانند PyPI (Python Package Index) و بررسی اعتبار توسعه‌دهنده یا سازمانی که بسته‌ها را ارائه می‌کند.
  •  بررسی کد منبع بسته‌ها پیش از نصب، خصوصا فایل‌های کلیدی مانند setup.py که می‌توانند حاوی کدهای اجرایی مخرب باشند.
  •  استفاده از ابزارهای امنیتی و scannerهای خودکار برای بررسی وجود کدهای مخرب در بسته‌ها.
  •  نظارت بر فعالیت‌های غیرعادی در سیستم و ترافیک شبکه: اگر به‌ طور ناگهانی ترافیکی به یک سرور ناشناخته ارسال شود، می‌تواند نشانه‌ای از فعالیت مخرب باشد.
  • محدودسازی دسترسی به فایل‌ها و مسیرهای حساس مانند ~/.config/gcloud. این کار از دسترسی کاربران و فرآیندهای غیرمجاز به این فایل‌ها جلوگیری می‌کند.
  • استفاده از محیط‌های ایزوله شده (مانند Docker) برای اجرای بسته‌ها، تا حتی در صورت وجود بدافزار، تاثیر آن محدود شود.
  • اعطای میزان دسترسی به هر کاربر یا فرآیند فقط به میزان دسترسی مورد نیاز. این کار می‌تواند میزان آسیب احتمالی در صورت نفوذ بدافزار را کاهش دهد.
  •  BackUp گرفتن منظم از داده‌های مهم موجب می‌شود در صورت وقوع یک حمله بدافزاری، سیستم  قابل بازیابی باشد.
     

منابع خبر:


[1] https://thehackernews.com/2024/07/malicious-pypi-package-targets-macos-to.html
[2] https://checkmarx.com/blog/malicious-python-package-targets-macos-developers-to-access-their-gcp-ac…

کشف آسیب‌پذیری بحرانی در محصول Acronis Cyber Infrastructure

تاریخ ایجاد

شرکت امنیت سایبری Acronis هشدار داده است که یک نقص امنیتی بحرانی در محصول Acronis Cyber Infrastructure (ACI) به طور گسترده مورد بهره‌برداری قرار گرفته است. این آسیب‌پذیری که با شناسه CVE-2023-45249 و شدت 9.8ردیابی می‌شود، مربوط به موردی از نقص اجرای کد از راه دور است که از استفاده از رمزهای عبور پیش‌فرض ناشی می‌شود.

محصولات تحت تأثیر
این آسیب‌پذیری بر نسخه‌های زیر از Acronis Cyber Infrastructure (ACI) تاثیر می‌گذارد:
•    نسخه‌های قبل از 5.0.1-61
•    نسخه‌های قبل از 5.1.1-71
•    نسخه‌های قبل از 5.2.1-69
•    نسخه‌های قبل از 5.3.1-53
•    نسخه‌های قبل از 5.4.4-132
 

توصیه‌های امنیتی
به کاربران نسخه‌های آسیب‌دیده ACI توصیه می‌شود برای کاهش تهدیدات احتمالی، به آخرین نسخه به‌روزرسانی کنند.
 

منبع خبر:

 

https://thehackernews.com/2024/07/critical-flaw-in-acronis-cyber.html

آسیب‌پذیری بحرانی دور زدن احراز هویت در Docker

تاریخ ایجاد

یک آسیب‌پذیری بحرانی‌ با شناسه‌ی CVE-2024-41110 و شدت CVSS:10 در Docker Engine کشف شده است که به مهاجمان اجازه می‌دهد از فرآیند احراز هویت عبور کنند و دسترسی غیرمجاز به سیستم‌ها پیدا کنند. این مشکل، ناشی از یک بازگشت (Regression) در سیستم پلاگین احراز‌هویت Docker بنام AuthZ است. یعنی تغییرات جدیدی که در سیستم احراز هویت اعمال گردیده، باعث شده‌ است یک نقص جدید به وجود بیاید که امکان عبور از احراز هویت بدون بررسی صحیح فراهم شود.  به دلیل نقص در سیستم احراز هویت، پلاگین ممکن است درخواست‌هایی را به اشتباه تایید کند که باید رد می‌شدند و می‌تواند باعث اقدامات غیرمجاز شود و امکان افزایش سطح دسترسی به اطلاعات حساس یا قابلیت‌های مدیریتی را فراهم کند.
نسخه‌های خاصی از Docker Engine و Docker Desktop تحت تاثیر آسیب‌پذیری ذکر شده قرار دارند. اگر این آسیب‌پذیری در محیط‌های تولیدی که Docker Engine برای مدیریت و راه‌اندازی کانتینرها استفاده می‌شود، به کار رود می‌تواند عواقب جدی و بزرگی داشته باشد.

محصولات تحت تأثیر

  •  Docker Desktop: نسخه v4.32.0 و نسخه‌های قبل از آن
  •  Docker Engine: نسخه‌های  v19.03.15- v20.10.27 - v23.0.14 - v24.0.9 - v25.0.5 - v26.0.2 - v26.1.4 - v27.0.3 - v27.1.0 و تمام نسخه‌های قبل از آن‌ها
     

توصیه‌های امنیتی

  • بروزرسانی Docker Engineبه نسخه‌های بالاتر از v23.0.14 و  v27.1.0
  • بروزرسانی Docker Desktop به نسخه  v4.33
  • اگر نمی‌توان بلافاصله Docker را بروزرسانی نمود توصیه می‌شود به صورت موقت پلاگین‌های احراز هویت (AuthZ)  غیرفعال گردد و دسترسی به Docker API محدود شود.
  • به مدیران فناوری اطلاعات سازمان‌ها توصیه می‌شود از اصل کمترین امتیاز پیروی نمایند و دسترسی به Docker API را فقط به افرادی یا سیستم‌هایی بدهند که واقعا به آن نیاز دارند و به آن‌ها اعتماد دارند.
  • اگر سازمانی از خدمات Docker Business استفاده می‌نماید، توصیه می‌شود از ابزار Settings Management استفاده کرده تا تنظیمات امنیتی را به طور یکسان در کل سازمان خود اعمال کند.
     

منبع خبر:


https://cybersecuritynews.com/critical-docker-vulnerability-bypass-authentication/