کد واسط میان‌افزار (UEFI) از فروشندگان مختلف میان‌افزار/BIOS در برابر حملات بالقوه از طریق نقص‌های پر تأثیر در کتابخانه‌های تجزیه تصویر تعبیه‌شده در میان‌افزارها، آسیب‌پذیر می-باشد. هر چند در نوامبر 2022 نیز یک نقص سیستم‌‌‌‌عامل در 5 مدل لپ‌‌‌‌تاپ مدل ایسر گزارش شد که امکان غیرفعال کردن بوت امن و بارگذاری بدافزار به مهاجمین را می‌‌‌‌داد. 
این نقص امنیتی می‌تواند توسط مهاجمان جهت ارائه یک محموله مخرب و دور زدن بوت شدن امن فناوری‌های امنیتی، مورد استفاده قرار بگیرد. علاوه بر این، می‌توان از آن جهت دور زدن راه‌حل‌های امنیتی و ارائه بدافزارهای پایدار به سیستم‌های آسیب‌دیده در مرحله بوت با تزریق یک فایل تصویری لوگوی مخرب به سیستم پارتیشن EFI، بهره‌برداری کرد. این آسیب‌پذیری‌ها شامل یک نقص سرریز بافر مبتنی بر پشته و خواندن خارج از محدوده است. به طور خاص، این آسیب‌پذیری‌ها زمانی ایجاد می‌شوند که تصاویر تزریق‌شده تجزیه می‌شوند و منجر به اجرای کدهایی خواهد شد که می‌توانند جریان کاری را ربوده و مکانیزم‌های امنیتی را دور بزنند.

محصولات تحت تاثیر
این نقص امنیتی بر تمام IBVهای اصلی مانند AMI، Insyde، و فونیکس و همچنین دستگاه‌های اینتل، ایسر و لنوو تأثیر می‌گذارد و منجر به تشدید آن می‌‌‌‌شود. فقط 3 شرکت Insyde، AMI و فونیکس به تنهایی تامین‌کننده 95 درصد سیستم‌‌‌‌های BIOS تولیدی در دنیا هستند. به عبارت دیگر، بدافزار جدید دارای وسعت تاثیر جهانی است و تقریباً همه PC های دنیا را شامل می‌‌‌‌شود.
این آسیب‌‌‌‌پذیری در شرکت فونیکس با شناسه CVE-2023-5058، در شرکت Insyde با شناسه CVE-2023-40238 و در شرکت AMI با شناسه‌های CVE-2023-39539 و CVE-2023-39538 ارائه شده‌اند.

توصیه‌های امنیتی
برای به حداقل رساندن خطر این میان‌افزار به‌طور کلی، کاربران باید آخرین توصیه‌های امنیتی ارائه شده توسط شرکت‌‌‌‌های سازنده را رعایت و به‌روزرسانی‌های میان‌افزار را سریعاً اعمال کنند، زیرا اغلب نقص‌های امنیتی مهم را برطرف می‌کنند. همچنین، بررسی تأمین‌‌‌‌کنندگان و فروشندگان دستگاه‌هایی که روزانه به‌عنوان دستگاه‌های شخصی یا دستگاه‌هایی در زیرساخت‌های سازمانی مورد استفاده قرار می‌‌‌‌گیرند، ضروری است.

منابع خبر:

[1] https://thehackernews.com/2023/12/logofail-uefi-vulnerabilities-expose.html
[2] https://binarly.io/posts/The_Far_Reaching_Consequences_of_LogoFAIL/
[3] https://www.darkreading.com/endpoint-security/critical-logofail-bugs-secure-boot-bypass-millions-pcs

محققان Unit42 یک Backdoor به نام Agent Raccoon را کشف کردند که در حملات علیه  برخی از سازمان‌ها استفاده شده است. این بدافزار در .Net نوشته شده است و از پروتکل DNS جهت ایجاد یک کانال ارتباطی مخفی با زیرساخت کنترل و فرمان استفاده می‌کند و به همراه یک ماژول DLL ارائه‌دهنده شبکه به نام Ntospy که جهت سرقت اطلاعات کاربری طراحی شده است و یک نسخه سفارشی شده از Mimikatz به نام Mimilite، در حملات متعدد مورد استفاده قرار گرفته است. 
تجزیه و تحلیل زیرساخت سرور C2 در این بدافزار نشان داد که قدمت آن به سال 2020 باز می‌‌‌‌گردد. به اعتقاد گروه Unit42 که این فعالیت تهدیدآمیز را به عنوان CL-STA-0002 ردیابی می‌‌‌‌کند، Agent Raccoon یک کمپین جاسوسی سایبری با حمایت دولتی است. مهاجمان سعی کردند کد دودویی آن را به عنوان کد دودویی Google Update و MS OneDrive Updater پنهان کنند. نویسندگان این بدافزار تغییرات کوچکی در کد منبع ایجاد کردند تا از شناسایی آن جلوگیری کنند. کارشناسان دامنه‌‌‌‌ای را کشف کردند که به صورت متنی ساده در کد، رمز شده بود و از آن جهت ایجاد کانال مخفی DNS استفاده شد. در نمونه‌های دیگر، نویسندگان از یک رشته رمزگذاری شده Base64 استفاده کرده‌‌‌‌اند.
براساس گزارش این تحقیقات، همه دامنه‌های C2 شناسایی‌شده الگوی پایه یکسانی با مقادیر منحصربه‌فرد برای شناسه چهار کاراکتری در نمونه‌های مختلف دارند. این Backdoor از سراسری کردن نام‌های دامنه برای برنامه‌ها (IDNA) با کدگذاری Punycode برای فرار استفاده می‌کند. Agent Raccoon از عملکرد Backdoor جهت اجرای فرمان، آپلود فایل و دانلود فایل پشتیبانی می‌‌‌‌کند. 

محصولات تحت تأثیر
بدافزار Agent Raccoon در حملات علیه سازمان‌‌‌‌ها، صنایع مختلف از جمله آموزش، املاک، خرده‌فروشی، سازمان‌های غیرانتفاعی، شرکت‌های مخابراتی و دولت‌ها مورد استفاده قرار گرفته است.

توصیه‌های امنیتی
بدافزار جدید سعی در انتشار خود در قالب و اسامی مشابه نرم‌‌‌‌افزارهای به‌روزرسانی مایکروسافت و گوگل دارد. از جمله اهداف تأیید شده این بدافزار، سرقت اطلاعات ایمیل‌‌‌‌ها از سرورهای Exchange مایکروسافت می‌‌‌‌باشد. بنابراین به کاربران محصولات مایکروسافت، به ویژه سرورهای Exchange اکیدأ توصیه می‌‌‌‌شود تا نسبت به شناسایی و اعتبارسنجی محل و منبع دریافت فایل‌‌‌‌های به‌روزرسانی، اهتمام لازم را داشته باشند.

منابع خبر:

[1]https://securityaffairs.com/155137/malware/agent-raccoon-malware.html?_gl=1*xgcgq8*_ga*MTE5MTg3MTgw…
[2] https://thehackernews.com/2023/12/agent-racoon-backdoor-targets.html
[3] https://www.bleepingcomputer.com/news/security/hackers-use-new-agent-raccoon-malware-to-backdoor-us…

یک آسیب‌پذیری با شناسه CVE-2023-40088 در سیستم‌عامل اندروید شناسایی شد. این آسیب‌پذیری منجر به افزایش سطح دسترسی در سیستم‌عامل اندروید می‌شود و در ماژول Bluetooth وجود دارد. آسیب‌پذیری مذکور هنگامی رخ می‌دهد که ماژول سعی می‌کند به یک دستگاه بلوتوث متصل شود که دارای یک مسیر نامعتبر است. در این حالت، ماژول ممکن است یک اشاره‌گر به حافظه را که هنوز مورد استفاده است، آزاد نکند. نقص آزاد نشدن اشاره‌گر به حافظه، می‌تواند منجر به افزایش سطح دسترسی شود و به یک مهاجم اجازه دهد کد دلخواه خود را اجرا کند.
برای بهره‌برداری از این آسیب‌پذیری، یک مهاجم باید ابتدا یک دستگاه بلوتوث جعلی ایجاد کند که دارای یک مسیر نامعتبر باشد، سپس باید این دستگاه را به دستگاه قربانی متصل کند، اگر قربانی اتصال را تایید کند، آسیب‌پذیری فعال می‌شود و به مهاجم اجازه می‌دهد که کد دلخواه را اجرا کند. این نقص امنیتی تنها می‌تواند توسط مهاجمی ایجاد شود که از نظر فیزیکی به اندازه کافی به دستگاه اندروید نزدیک است و یکی از اتصالات زیر را استفاده می‌کند:
•    Wi-Fi
•    بلوتوث
•    NFC

توصیه‌های امنیتی
برای محافظت از خود در برابر این آسیب‌پذیری، اقدامات زیر باید انجام شوند:
•    اعمال به‌روزرسانی دستگاه اندروید. گوگل در دسامبر 2023 یک به‌روزرسانی امنیتی برای رفع این آسیب‌پذیری منتشر کرد. این به‌روزرسانی با دستگاه‌های دارای اندروید 11 تا 14 سازگار است.
•    از یک نرم‌افزار امنیتی معتبر استفاده شود.
•    آگاهی در خصوصو حملات فیشینگ و مهندسی اجتماعی. این حملات می‌توانند از طریق ایمیل، پیامک، یا سایر کانال‌های ارتباطی انجام شوند.
•    رمزهای عبور به‌طور منظم تغییر داده شوند. از رمزهای عبور قوی و منحصربه‌فرد برای همه حساب‌ها استفاده شود.

منابع‌خبر:

[1]https://isp.page/news/google-patches-critical-flaw-that-can-be-abused-to-hack-android-phones/#gsc.t…
[2]https://www.bleepingcomputer.com/news/security/december-android-updates-fix-critical-zero-click-rce…
[3] https://source.android.com/docs/security/bulletin/2023-12-01

سیستم‌های Zyxel NAS به منظور ذخیره‌سازی داده‌ها در یک مکان متمرکز در شبکه استفاده می‌شود. این سیستم‌ها که برای حجم بالای داده طراحی شده‌اند، عملکردهایی مانند پشتیبان‌گیری کارآمد از داده‌ها، پخش رسانه‌ای یکپارچه و گزینه‌های اشتراک‌گذاری قابل تنظیم را ارائه می‌کنند.
Zyxel چندین نقص امنیتی را مورد بررسی قرار داده است که سه مورد از آنها بسیار جدی است. این آسیب‌پذیری‌ها به طور بالقوه می‌توانند یک مهاجم غیرمجاز را قادر سازند تا دستورات سیستم‌عامل را بر روی دستگاه‌هایNAS  (ذخیره‌سازی متصل به شبکه) آسیب‌پذیر، اجرا کند.
این آسیب‌پذیری‌ها به شرح زیر است:

•   آسیب‌پذیری با شناسه CVE-2023-35138 و شدت بحرانی (9.8): یک آسیب‌پذیری تزریق دستور (command injection) در دستگاه‌های Zyxel NAS است که در تابع «show_zysync_server_contents» وجود دارد و به مهاجمان تأیید نشده اجازه می‌دهد تا دستورات سیستم‌عامل دلخواه را با بهره‌برداری از یک درخواست HTTP POST جعلی، اجرا کنند.
•  آسیب‌پذیری با شناسه CVE-2023-35137 و شدت بالا (7.5): در این آسیب‌پذیری، دستگاه‌های Zyxel NAS تحت تأثیر یک نقص احراز هویت نامناسب در ماژول احراز هویت قرار دارند. این نقص به مهاجمان احراز هویت نشده این امکان را می‌دهد تا با بهره‌برداری از یک URL جعلی خاص، اطلاعات سیستم را به دست آورند.
•  آسیب‌پذیری با شناسه CVE-2023-37927 و شدت بالا (8.8): یک آسیب‌پذیری امنیتی در برنامه CGI دستگاه‌های Zyxel NAS، که به مهاجمان احراز هویت شده اجازه می‌دهد تا دستورات سیستم‌عامل دلخواه را با استفاده از یک URL ساختگی اجرا کنند.
•  آسیب‌پذیری با شناسه CVE-2023-37928 و شدت بالا (8.8): یک آسیب‌پذیری تزریق دستور (command injection) پس از احراز هویت در سرور WSGI دستگاه‌های Zyxel NAS است. مهاجمان احراز هویت شده می‌توانند با ایجاد یک URL مخرب از این نقص امنیتی بهره‌برداری کنند و آنها را قادر می‌سازد تا دستورات سیستم‌عامل دلخواه را اجرا کنند.
•  آسیب‌پذیری با شناسه CVE-2023-4473 و شدت بحرانی (9.8): یک نقص امنیتی مهم در وب سرور دستگاه‌های Zyxel NAS است که به مهاجمان تأیید نشده اجازه می‌دهد تا دستورات دلخواه را با بهره‌برداری از تزریق فرمان (command injection) از طریق یک URL جعلی اجرا کنند.
•  آسیب‌پذیری با شناسه CVE-2023-4474 و شدت بحرانی (9.8): یک آسیب‌پذیری در سرور WSGI دستگاه‌های Zyxel NAS است که به مهاجمان احراز هویت نشده اجازه می‌دهد تا دستورات سیستم‌عامل را با بهره‌برداری از یک URL ساختگی اجرا کنند.

محصولات تحت تأثیر
طبق بررسی‌های انجام شده دستگاه‌های NAS326 از نسخه 5.21(AAZF.14)C0 و قبل‌تر و همچنین دستگاه‌های NAS542 با نسخه 5.21(ABAG.11)C0 و قبل‌تر تحت تأثیر آسیب‌پذیری‌های فوق قرار دارند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی سیستم‌های خود مطابق جدول زیر اقدام کنند:
 

منبع خبر:
 

[1] https://www.bleepingcomputer.com/news/security/zyxel-warns-of-multiple-critical-vulnerabilities-in-…

به تازگی، محققان امنیتی موفق به کشف یک آسیب‌پذیری حیاتی در نرم‌افزار Jira شده‌اند. Jira ابزار محبوب مدیریت پروژه و ردیابی اشکالات نرم‌افزاری در GitLab است و در به‌روزرسانی امنیتی اخیر GitLab، این آسیب‌پذیری با شناسه CVE-2023-6033 رفع شده است. این آسیب‌پذیری بر پیکربندی ادغام GitLab با Jira تأثیر می‌گذارد و به مهاجمان اجازه می‌دهد تا کد جاوا اسکریپت را در مرورگر قربانی اجرا کنند که تهدیدی قابل توجه برای داده‌های کاربر و یکپارچگی سیستم است.
حمله به این صورت است که با استفاده از قابلیت یکپارچه‌سازی Jira و ارسال یک درخواست جعلی خاص به سرور GitLab، مهاجم می‌تواند از این آسیب‌پذیری بهره‌برداری کند. پس از تکمیل درخواست، مهاجم از سشن مرورگر قربانی برای اجرای کد جاوا اسکریپت دلخواه استفاده می‌کند و در ادامه می‌تواند از طرف قربانی هر اقدامی را انجام دهد یا به اطلاعات خصوصی او دسترسی پیدا کند.
در ادامه مثالی از این آسیب‌پذیری آورده شده است:
مهاجم، مقدار name (نام ارائه شده در رشته جستجوی URL) را در یک قطعه کد با استفاده از $_GET['username']; بازیابی می‌کند. سپس، مقدار به دست آمده پس از الحاق به یک عنصر پاراگراف HTML به کاربر بازپس داده می‌شود. یک اسکریپت (XSS) یا سایر کدهای مخرب را می‌توان با دستکاری مقدار نام در پاسخ HTML درج کرد، زیرا قبل از گنجاندن، کدگذاری تأیید نشده است.
هنگامی که قربانی با پارامتر نام تغییر یافته، از URL بازدید می‌کند، XSS در مرورگرش راه‌اندازی می‌شود که شاید منجر به سرقت کوکی یا سایر فعالیت‌های مخرب شود.
 

سپس مهاجم در یک صفحه وب بدون رمزگذاری، از یک پارامتر HTTP GET مستقیماً در یک صفحه HTML استفاده می‌کند. در این شرایط مهاجم می‌تواند یک پیوند بصورت <script>alert(document.cookie);</script> با تغییر مقدار پارامتر، برای قربانی ارسال کند. وقتی که قربانی روی پیوند کلیک می‌کند، با یک اسکریپت، payload در مرورگر قربانی اجرا می‌شود و ممکن است منجر به سرقت کوکی یا سایر فعالیت‌های مخرب شود.

محصولات تحت تأثیر
این آسیب‌پذیری، نسخه‌های 15.10 ،16.6.1، 16.5 ، 16.5.3 و 16.4 ، 16.4.3 نرم‌افزار Jira را تحت تأثیر قرار می‌دهد و به مهاجم اجازه می‌دهد اسکریپت مد نظر خود را در مرورگر قربانی اجرا کند.
 

   توصیه‌های امنیتی
•    برای رفع آسیب‌پذیری مذکور، GitLab وصله‌ای برای تمام نسخه‌های آسیب‌دیده GitLab Community Edition (CE) و Enterprise Edition (EE) منتشر کرده است. این وصله، پیکربندی یکپارچه‌سازی Jira را به‌روزرسانی می‌کند تا ورودی کاربر را به‌درستی پاکسازی کند و از اجرای بیشتر اسکریپت‌های مخرب جلوگیری کند.
•    علاوه بر این، به کاربران توصیه شده است که نرم‌افزار خود را به آخرین نسخه موجود ارتقا دهند تا اطمینان حاصل کنند که در برابر این تهدیدات و تهدیدات آتی محافظت شوند. همچنین توصیه شده است که ماکروها را فقط در صورت نیاز فعال کنند.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-6033
[2[ https://gitlab.com/gitlab-org/gitlab/-/issues/431201
[3] https://hackerone.com/reports/2236039

شرکت اپل یک به‌روزرسانی امنیتی اضطراری جهت رفع دو آسیب‌پذیری روز صفر در WebKit منتشر کرد. این آسیب‌پذیری‌ها دستگاه‌های iPhone، iPad و Mac را تحت تأثیر قرار می‌دهند. اولین آسیب‌پذیری با شناسه CVE-2023-42916 از نوع out-of-bounds read بوده و از طریق بازدید قربانی از یک محتوای وب قابل بهره‌‌برداری است و منجر به افشای اطلاعات حساس می‌شود. آسیب‌پذیری دوم با شناسه CVE-2023-42917 از نوع memory corruption است و در صورت بازدید قربانی از یک محتوای وب، امکان اجرای کد از راه دور را برای مهاجم فراهم می‌کند.

محصولات تحت تأثیر
فهرست دستگاه‌های تحت تأثیر گسترده می‌باشد و شامل دستگاه‌های زیر است:

• iPhone XS و نسخه‌های جدیدتر
• دستگاه iPad Pro مدل 12.9 اینچی نسل دوم و بعد از آن
• دستگاه iPad Pro مدل 10.5 اینچی
• دستگاه iPad Pro مدل 11 اینچی نسل یک و بعد از آن
• دستگاه  iPad Air نسل سوم و بعد از آن
• دستگاه iPad نسل ششم و بعد از آن
• دستگاه  iPad mini نسل پنجم و بعد از آن
• دستگاه‌های Mac مجهز به macOS Monterey، Ventura و Sonoma

توصیه‌های امنیتی
شرکت اپل می‌گوید این نقص‌های امنیتی را در دستگاه‌های مجهز به iOS نسخه 17.1.2، iPadOS نسخه 17.1.2، macOS Sonoma نسخه 14.1.2 و همچنین Safari نسخه 17.1.2 مورد توجه قرار داده و تایید اعتبار و locking را در این نسخه‌ها اضافه کرده است. توصیه می‌شود کلیه دارندگان محصولات اپل در اسرع وقت این به‌روزرسانی‌های امنیتی را دریافت و اعمال نمایند.
در دستگاه‌های آیفون می‌توانید با مراجعه به قسمت Settings > General > Software Update مشاهده کنید که به‌روزرسانی iOS 17.1.2 در دسترس است و در صورت داشتن حداقل 7 گیگابایت فضای خالی عملیات نصب را آغاز نمایید. حتی اگر به‌روزرسانی خودکار را فعال کرده‌اید نیز این اقدام را انجام دهید زیرا به‌روزرسانی خودکار ممکن است با کمی تاخیر و در مواقع عدم استفاده از دستگاه انجام شود.

منابع خبر:
 

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-42916
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-42917
[3] https://www.bleepingcomputer.com/news/apple/apple-fixes-two-new-ios-zero-days-in-emergency-updates/

شرکت Dell از دو آسیب‌پذیری در محصول Dell Rugged Control Center خبر داد.
در این آسیب‌پذیری‌ها که با شناسه‌های CVE-2023-39256  و CVE-2023-39257 و شدت 7.3ردیابی می‌شوند، به دلیل عدم کنترل دسترسی مناسب، مهاجم می‌تواند از آنها برای تغییر محتوای موجود در یک پوشه ناامن در زمان نصب و ارتقای محصول بهره‌برداری کرده و سطح دسترسی خود را در سیستم افزایش دهد.

محصولات تحت تأثیر
این آسیب‌پذیری‌ها محصول Dell Rugged Control Center نسخه‌های‌ قبل از 4.7 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Dell Rugged Control Center  به نسخه 4.7 اقدام نمایند.

منبع خبر:

[1] https://www.dell.com/support/kbdoc/en-us/000217705/dsa-2023-340

محققان Eurecom شش حمله جدید که در مجموع به نام BLUFFS شناخته می‌شوند را شناسایی کرده‌اند که می‌تواند محرمانگی سشن‌های بلوتوث را به خطر بیندازد. این حملات، امکان جعل هویت دستگاه‌ها و حملات مرد میانی (man-in-the-middle) را برای مهاجم فراهم می‌کنند و به طور بالقوه منجر به دسترسی غیرمجاز و رهگیری ارتباط بین دستگاه‌های دارای بلوتوث می‌شود.
این آسیب‌پذیری‌ها با شناسه CVE-2023-24023 ردیابی می‌شوند و Bluetooth Core Specification از نسخه 4.2 تا 5.4 را تحت تأثیر قرار می‌دهند.
با توجه به استفاده گسترده از استاندارد ارتباطات بی سیم و نسخه‌های تحت تأثیر این آسیب‌پذیری‌ها، BLUFFS این پتانسیل را دارد که میلیاردها دستگاه را هدف قرار دهد. این دستگاه‌ها شامل لپ‌تاپ‌ها، تلفن‌های هوشمند و دستگاه‌های مختلف تلفن همراه دیگری می‌شود که به این فناوری مجهز هستند و آن را به یک نگرانی امنیتی مهم و گسترده تبدیل می‌کند.
مهاجم از چهار آسیب‌پذیری در فرآیند استخراج کلید سشن (session key) که دو مورد از این آسیب‌پذیری‌ها به تازگی شناسایی شده‌اند، بهره‌برداری کرده که منجر به تولید یک کلید کوتاه، ضعیف و قابل پیش‌بینی (SKC) می‌شود. در مرحله بعد، مهاجم از یک روش brute-force برای شکستن کلید استفاده می‌کند که به کمک آن می‌تواند ارتباطات گذشته را رمزگشایی کرده و ارتباطات آینده را رمزگشایی یا دستکاری کند.
برای اجرای حمله، مهاجم باید در محدوده بلوتوث دو هدفی باشد که داده‌ها را مبادله می‌کنند. در این بین با جعل هویت یکی از طرفین، ایجاد مداخله می‌کند تا طرف دیگر کلیدی ضعیف برای ارتباط ایجاد کند.
 

مراحل حمله

تلاش مهاجم برای به دست آوردن کلید بعد از جعل هویت

توصیه‌های امنیتی
به کاربران توصیه می‌شود جهت کاهش خطرات احتمالی ناشی از آسیب‌پذیری‌های مذکور، موارد زیر را به کار گیرند:
•    یک KDF جدید برای اتصالات امن قدیمی معرفی کنید که شامل مبادله و تأیید متقابل غیر مستقیم است و حداقل هزینه را اضافه می کند.
•    دستگاه‌ها باید از یک کلید جفت‌سازی مشترک برای احراز هویت متقابل متنوع‌کننده‌های کلید استفاده کنند و از هویت عوامل سشن، اطمینان حاصل کنند.
•    در صورت امکان حالت اتصالات ایمن (SC) را اعمال کنید.
 

منبع خبر:

[1] https://www.bleepingcomputer.com/news/security/new-bluffs-attack-lets-attackers-hijack-bluetooth-co…

به تازگی، محققان حوزه امنیت سایبری موفق به کشف یک آسیب‌پذیری با شناسه CVE-2023-6304 در محصول Tecno 4G Portable WiFi TR118 که متعلق به شرکت تکنو می‌باشد، شده‌اند. مهاجمان با بهره‌برداری از این آسیب‌پذیری، قادر به تزریق و اجرای کدهای مخرب هستند.

  مهاجم پس از اجرای مراحل زیر، قادر به تزریق کد و دستورات دلخواه در سمت مودم خواهد بود:

•  ابتدا به یک شبکه محلی (LAN) که از دستگاه WiFi جهت ایجاد ارتباط بین کاربران و سایر دستگاه‌ها استفاده می‌کند متصل شود؛ به عبارت دیگر باید ابتدا به عنوان یک کاربر احرازهویت شده به شبکه متصل گردد.
• در این مرحله، مهاجم یک درخواست به سمت دستگاه مودم ارسال می‌کند، با این تفاوت که ابتدا درخواست خود را در ابزار BurpSuite دریافت می‌کند و بعد از اعمال تغییرات دلخواه، که در حقیقت همان تزریق کد مخرب است، آن را به سمت مودم ارسال می‌کند.
   

• همانطور که در تصویر زیر مشخص است پارامتری که باعث بوجود آمدن آسیب‌پذیری می‌شود پارامتر (url) است. مهاجم با قرار دادن دستور سیستمی مد نظر خود اقدام به خواندن خط اول فایل /etc/passwd کرده است.

 
نکته مهم در این حمله آن است که در سمت سرور (مودم) هیچ گونه عمل اعتبارسنجی روی ورودی‌های ارسالی از سمت کاربر صورت نگرفته و در فایل تنظیمات مودم، ورودی‌های شامل backtick مسدود نمی‌شوند و در لیست سیاه قرار نمی‌‌‌گیرند. در نتیجه، هکر از ویژگی backtick بهره‌برداری می‌‌‌کند و با قرار دادن کد خود داخل ورودی، به آن کد قابلیت اجرا شدن می‌دهد.

• به دلیل آنکه این حمله، Blind OS Command Injection است، مهاجم نیاز به بازکردن یک پورت روی سرور خود جهت دریافت اطلاعات دارد. 

سپس مهاجم با استفاده از دستوراتی مثل curl یا wget، محتوای فایل مد نظر را به سمت خود ارسال می‌‌‌کند.
 

اکنون اطلاعات مربوط به فایل /etc/passwd در سمت هکر قابل مشاهده است
 

 
در ادامه مراحل کامل اجرای این حمله و دستورات استفاده شده در فرآیند تولید فایل exploit با استفاده از msfvenom و گرفتن نشست فعال از طریق meterpreter و اطلاعات استخراج شده از مودم آورده شده است.
 

محصولات تحت تأثیر
تمام مودم‌های شرکت تکنو با مدل TR118 که نسخه firmware مورد استفاده در آن‌ها TR118-M30E-RR-DEnFrArSwHaPo-OP-V008-20220830 می‌باشد، در معرض این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
با توجه به آن که هنوز هیچ وصله امنیتی، توسط شرکت سازنده برای این محصول منتشر نشده است، تنها راه حل ممکن، جایگزین کردن این مودم با یک مودم امن می‌باشد و در صورتی که امکان جابجایی وجود ندارد باید دسترسی به این مودم را محدود کرد.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-6304
[2] https://securityonline.info/cve-2023-6304-defend-your-tecno-hotspot-from-malicious-code-injection
[3] https://vuldb.com/?id.246130

یک آسیب‌پذیری با شناسه CVE-2023-5561 و شدت 5.3 در افزونه Popup Builder وردپرس از نسخه 4.1.15 تا 4.1.21 شناسایی شد.
این آسیب‌پذیری به دلیل ضعف در فرآیند اعتبارسنجی ورودی‌های ارائه شده توسط کاربران رخ می‌دهد. مهاجم از راه دور و با احراز هویت می‌تواند با بهره‌برداری از این آسیب‌پذیری، اسکریپت‌های مخرب را در یک صفحه وب درج کند، اطلاعات احراز هویتی که به صورت کوکی در مرورگر کاربر ذخیره شده است را سرقت کرده و از آن برای انجام حملات دیگر استفاده کند.
در واقع آسیب‌پذیری مذکور به کاربران با سطح دسترسی بالا مانند مدیران، اجازه می‌دهد تا حملات Cross-Site Scripting (XSS) را حتی زمانی که قابلیت unfiltered_html غیرفعال شده باشد انجام دهند. مهاجم می‌تواند کد مخرب را در تنظیمات افزونه Popup Builder  تزریق کند. این تنظیمات شامل نام‌ها، آدرس‌ها، ایمیل‌ها و سایر اطلاعات است که کاربران می‌توانند در تنظیمات Popup وارد کنند. هنگامی که یک کاربر از این تنظیمات استفاده می‌کند، کد مخرب اجرا می‌شود. کد مخرب می‌تواند برای انجام اقدامات مختلفی استفاده شود.
 

توصیه‌های امنیتی

جهت در امان ماندن از خطرات احتمالی ناشی از این آسیب‌پذیری، کاربران باید افزونه Popup Builder را به نسخه بالاتر به‌روزرسانی کنند.

منابع خبر:

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5561
[2] https://www.redpacketsecurity.com/popup-builder-wordpress-plugin-for-wordpress-cross-site-scripting…