کشف بدافزار خطرناک FrostyGoop با هدف قرار دادن سیستم‌های کنترل صنعتی

تاریخ ایجاد

پژوهشگران امنیت سایبری از کشف نوع جدیدی از بدافزار که به حملات سایبری بر روی سیستم‌های کنترل صنعتی (ICS) متمرکز است، خبر دادند. این بدافزار که به نام "FrostyGoop" شناخته می‌شود، برای نخستین بار به طور مستقیم از پروتکل Modbus TCP برای خرابکاری در شبکه‌های تکنولوژی عملیاتی (OT) استفاده می‌کند و به طور خاص برای هدف قرار دادن سیستم‌های کنترل ENCO که از پروتکل Modbus TCP استفاده می‌کنند طراحی شده ‌است.
Modbus یک پروتکل ارتباطی است که برای انتقال اطلاعات بین دستگاه‌های الکترونیکی استفاده می‌شود. این پروتکل در اصل برای استفاده در سیستم‌های کنترل صنعتی طراحی شده و از آن برای ارتباط بین دستگاه‌هایی مانند کنترلرهای منطقی قابل برنامه‌ریزی (PLC) و حسگرها یا محرک‌ها استفاده می‌شود. Modbus از ساختار کلاینت-سرور استفاده می‌کند. این پروتکل معمولاً از طریق پورت 502 TCP/IP پیاده‌سازی می‌شود.
FrostyGoop، که با زبان برنامه‌نویسی Golang نوشته شده، قادر است مستقیماً با دستگاه‌های ICS از طریق پروتکل Modbus TCP بر روی پورت 502 ارتباط برقرار کند. این بدافزار به طور عمده سیستم‌های ویندوزی را هدف قرار می‌دهد و برای آسیب رساندن به دستگاه‌های کنترل ENCO که پورت TCP 502 آن‌ها به اینترنت متصل است، استفاده می‌شود. سیستم‌های کنترل ENCO (Energy Control System) در واقع نوعی سیستم کنترل صنعتی هستند که برای مدیریت و نظارت بر تجهیزات و فرآیندهای انرژی استفاده می‌شوند. این سیستم‌ها معمولاً در تأسیسات انرژی مانند نیروگاه‌ها، شبکه‌های توزیع برق و تأسیسات گرمایشی به کار می‌روند. سیستم‌های ENCO می‌توانند شامل سخت‌افزار و نرم‌افزارهایی باشند که برای جمع‌آوری داده‌ها، مانیتورینگ و کنترل تجهیزات انرژی استفاده می‌شوند. این سیستم‌ها اغلب از پروتکل‌های ارتباطی استاندارد مانند Modbus برای ارتباط با دستگاه‌های مختلف استفاده می‌کنند. این بدافزار قابلیت خواندن و نوشتن داده‌ها به دستگاه‌های ICS را دارد و همچنین می‌تواند دستورات از طریق فایل‌های پیکربندی JSON دریافت کند و خروجی‌ها را به کنسول و یا فایل JSON گزارش دهد.
حمله‌ای که اخیرا رخ داد و در آن از FrostyGoop استفاده شده‌‌ بود، به یک شرکت انرژی صورت گرفت و منجر به قطع خدمات گرمایشی در بیش از 600 ساختمان مسکونی به مدت نزدیک به 48 ساعت شد. محققان معتقدند که دسترسی اولیه به شبکه‌های آسیب‌دیده از طریق آسیب‌پذیری‌هایی در روترهای Mikrotik به دست آمده است.
FrostyGoop یکی از نه نوع بدافزار ICS است که تاکنون شناسایی شده است. این بدافزارها شامل Stuxnet، Havex، Industroyer، Triton، BlackEnergy2، Industroyer2 و COSMICENERGY هستند. FrostyGoop به طور خاص از پروتکل Modbus TCP برای برهم زدن عملکرد دستگاه‌های ICS استفاده می‌کند و تهدیدی جدی برای زیرساخت‌های حیاتی در بخش‌های مختلف به شمار می‌آید.
با توجه به این که بیش از 46,000 دستگاه ICS به صورت اینترنتی با استفاده از پروتکل Modbus ارتباط دارند، وجود چنین بدافزارهایی می‌تواند پیامدهای خطرناکی برای عملیات صنعتی و ایمنی عمومی داشته باشد. پژوهشگران توصیه می‌کنند که سازمان‌ها امنیت زیرساخت‌های خود را با پیاده‌سازی تدابیر جامع حفاظتی تقویت کنند تا از تهدیدات مشابه جلوگیری کنند.

توصیه‌های امنیتی
برای پیشگیری و کاهش خطر بدافزار FrostyGoop، می‌توان اقدامات زیر را انجام داد:

  • به‌روزرسانی سیستم‌ها و تجهیزات
  • مانیتورینگ شبکه و شناسایی هرگونه فعالیت مشکوک
  • پیکربندی درست تجهیزات و حصول اطمینان از اینکه پورت‌های ناامن مانند پورت 502 برای Modbus به درستی پیکربندی شده و در معرض اینترنت نیستند.
  • آموزش پرسنل
  • استفاده از فایروال‌ها و سیستم‌های تشخیص نفوذ (IDS/IPS) برای محافظت از شبکه
  • پشتیبان‌گیری منظم از داده‌ها و سیستم‌ها
  • اجرای سیاست‌های دسترسی محدود به سیستم‌های حیاتی

منبع خبر:


https://thehackernews.com/2024/07/new-ics-malware-frostygoop-targeting.html?m=1

کشف آسیب‌پذیری در افزونه Redux

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2024-6828 و امتیاز ۷.۲ در افزونه Redux Framework وردپرس شناسایی شده است. این آسیب‌پذیری به دلیل عدم بررسی مجوزها و قابلیت‌ها در تابع Redux_Color_S+cheme_Import رخ می‌دهد و امکان بارگذاری فایل‌های JSON بدون احراز هویت را فراهم می‌کند. این نقص امنیتی به مهاجمان احراز هویت نشده اجازه می‌دهد تا فایل‌های JSON را بارگذاری کنند که می‌تواند برای انجام حملات XSS ذخیره‌شده مورداستفاده قرار گیرد. همچنین، در برخی موارد نادر، زمانی که wp_filesystem نتواند به‌درستی راه‌اندازی شود، این آسیب‌پذیری می‌تواند به اجرای کد از راه دور منجر شود.

محصولات تحت‌تأثیر
نسخه‌های ۴.۴.۱۲ تا ۴.۴.۱۷ تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
به‌روزرسانی افزونه به آخرین نسخه ارائه‌شده توسط توسعه‌دهندگان توصیه می‌شود.

منابع خبر:


[1]    https://nvd.nist.gov/vuln/detail/CVE-2024-6828
[2]    https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/redux-framework/redux-fram…

تهدید سیستم‌های لینوکسی VMware ESXi توسط باج‌افزار play

تاریخ ایجاد

پژوهشگران امنیت سایبری نسخه جدیدی از باج‌افزار Play که به نام‌های Balloonfly و PlayCrypt نیز شناخته می‌شود را کشف کرده‌اند که برای هدف قرار دادن سیستم‌های لینوکس و به طور خاص محیط‌های VMware ESXi طراحی شده‌ است. VMware ESXiیک هایپروايزور (مجازی‌ساز) است که برای مدیریت ماشین‌های مجازی و زیرساخت‌های IT استفاده می‌شود. این نسخه جدید از باج‌افزار Play ممکن است نشانه‌ای از گسترش حملات این گروه به پلتفرم‌های لینوکس باشد و این گسترش به این معنی است که مهاجم می‌تواند دایره قربانیان خود را افزایش دهد.
باج‌افزار Play از ژوئن 2022 به عرصه سایبری معرفی شد. این باج‌افزار برای فریب و تحت فشار قرار دادن قربانیان از روش‌های دوگانه Double Extortion استفاده می‌کند. به این صورت که ابتدا داده‌های حساس را استخراج کرده و سپس سیستم‌های آسیب‌دیده را رمزگذاری می‌کند و در آخر برای دریافت کلید رمزگشایی، از قربانیان درخواست پرداخت باج می‌کند و آنها را تهدید می‌کند که در صورت عدم پرداخت، اطلاعات سرقت شده را فاش خواهند کرد!
نمونه باج‌افزار Play هنگامی که اجرا می‌شود، ابتدا بررسی می‌کند که آیا در محیط  ESXiدر حال اجرا هست یا خیر. اگر بود شروع به رمزگذاری فایل‌های ماشین‌های مجازی که شامل دیسک‌های ماشین مجازی، فایل‌های پیکربندی و فایل‌های متاداده هست می‌کند. پس از رمزگذاری، این فایل‌ها را با افزونه .PLAY ذخیره می‌کند و در نهایت، یک یادداشت باج‌گیری در دایرکتوری ریشه (root directory) سیستم قربانی قرار می‌دهد.

محصولات تحت تأثیر

  •  محیط‌های VMware ESXi
     

توصیه‌های امنیتی

  • برای اطمینان از امنیت محیط‌های  ESXi تنظیمات امنیتی، پیکربندی مناسب و بستن پورت‌هایی که نیاز به استفاده از آن نیست حایز اهمیت است.  
  • نظارت مستمر بر ترافیک شبکه و فعالیت‌های غیرعادی
  • محدود کردن دسترسی ها و جداسازی شبکه‌های حساس و سرورها و سیستم‌های حیاتی
  • آگاهی‌رسانی به کارکنان درباره‌ی فیشینگ و نحوه‌ی تشخیص ایمیل‌ها و لینک‌های مشکوک می‌تواند میزان نفوذ باج‌افزار را کاهش دهد.
  • به دلیل هدف قرار دادن محیط‌های  VMware ESXi پشتیبان‌گیری منظم و امن از ماشین‌های مجازی اهمیت زیادی دارد.
     

منبع خبر:


 https://thehackernews.com/2024/07/new-linux-variant-of-play-ransomware.html?m=1

کشف آسیب‌پذیری در نرم‌افزار اگزیم (Exim)

تاریخ ایجاد

یک آسیب‌پذیری با شدت متوسط (5.4) و شناسه‌ CVE-2024-39929 در نرم‌افزار اگزیم Exim (Experimental Internet Mailer) که نرم‌افزاری open source جهت ارسال یا دریافت ایمیل در سیستم‌عامل‌های Linux و Unix می‌باشد،  کشف شده است. از طریق این آسیب‌پذیری، نام فایل هدر RFC 2231  اشتباه تجزیه خواهد شد و مهاجم از راه دور می‌تواند مکانیزم حفاظتی مربوط به انسداد پسوند $mime_filename را دور بزند و فایل‌های پیوستی قابل اجرا را به صندوق ورودی کاربر ارسال کند؛ زیرا نام فایل به درستی تجزیه نشده است و آخرین قسمت مربوط به نام فایل را حذف می‌کند.
بر اساس بردار حمله این آسیب‌پذیری  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N  بهره‌برداری از آن از شبکه خارجی امکان‌پذیر نیست. مهاجم باید از راه دور (از طریق پروتکلی مانند SSH یا RDP) به سیستم دسترسی داشته باشد، یا نیاز به استفاده از مهندسی اجتماعی یا تکنیک‌های دیگر جهت فریب کاربر ناآگاه برای کمک به شروع بهره‌برداری دارد. (AV:N)، بهره‌برداری از آن نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L) ، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، به تعامل با کاربر نیز نیاز دارد (UI:R)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:U) و دو ضلع از سه ضلع امنیت با شدت پایینی تحت تأثیر قرار می‌گیرد.


محصولات تحت تأثیر
 نسخه 4.97.1 نرم‌افزارExim  تحت تأثیر این آسیب‌پذیری قرار دارند.

 توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت، نرم‌افزار Exim خود را به نسخه 4.98 ارتقاء دهند.

منابع خبر:


[1]https://nvd.nist.gov/vuln/detail/CVE-2024-39929
[2]Bug 3099 – Incorrect parsing of multiline rfc2231 header filename (exim.org)

کشف آسیب‌پذیری در افزونه HUSKY

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-6457  و شدت ۹.۸ (بحرانی) در افزونهHUSKY وردپرس که افزونه‌ای جهت فیلتر کردن محصولات در WooCommerce می‌باشد، کشف شده است. آسیب‌پذیری مذکور نوعی تزریق کد SQL مبتنی بر زمان است که با استفاده از پارامتر woof_author رخ می‌دهد و این امکان را برای مهاجم احراز هویت نشده فراهم می‌کند تا کوئری‌های SQL اضافی را به کوئری‌های موجود اضافه کند که می‌تواند منجر به استخراج اطلاعات حساس از پایگاه‌داده شود. 
مهاجمان می‌توانند از این آسیب‌پذیری برای موارد زیر بهره‌برداری کنند:

  • سرقت اطلاعات حساس از پایگاه‌داده، مانند نام کاربری، رمز عبور و اطلاعات مشتریان
  • دست‌کاری داده‌ها در پایگاه‌داده
  • اجرای دستورات دلخواه در سرور


محصولات تحت‌تأثیر
نسخه‌های ۱.۳.۶ و پایین‌تر افزونهHUSKY وردپرس آسیب‌پذیر می‌باشند.

توصیه امنیتی

  • اعمال به‌روزرسانی افزونه HUSKY  : به‌روزرسانی افزونه HUSKY به نسخه ۱.۳.۷ یا بالاتر.
  • نصب افزونه امنیتی: نصب یک افزونه امنیتی مانند Wordfence یا Sucuri Security جهت اسکن و شناسایی آسیب‌پذیری‌ها در وردپرس.
  • ایجاد نسخه پشتیبان از پایگاه‌داده: به طور مرتب از پایگاه‌داده خود نسخه پشتیبان تهیه کنید تا در صورت حمله بتوانید آن را بازیابی کنید.


منابع خبر:


[1]    https://nvd.nist.gov/vuln/detail/CVE-2024-6457
[2]    https://plugins.trac.wordpress.org/browser/woocommerce-products-filter/trunk/ext/by_author/index.ph…
[3]    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6457

کشف آسیب‌پذیری اجرای کد در مرورگر کروم

تاریخ ایجاد

چندین آسیب‌پذیری در مرورگر گوگل کروم کشف شده  است که می‌تواند توسط مهاجم منجر به اجرای دلخواه کد شود. این آسیب‌پذیری‌ها به مهاجمان امکان می‌دهد تا در صورت بهره‌برداری موفق، برنامه‌های مختلف را نصب و آن‌ها را پیکربندی کرده، داده‌ها را مشاهده، تغییر یا حذف نماید و یا حتی حساب‌های کاربری جدید با بالاترین دسترسی(مانند حساب های مدیریتی)  ایجاد نمایند.  این آسیب‌پذیری‌ها در موتور جاوا اسکریپت، ضبط صفحه ‌نمایش، جریان رسانه، صوت، پیمایش و ابزارهای توسعه‌دهنده گوگل کروم وجود دارند که شدید ترین آن‌ها می‌تواند منجر به اجرای کد  دلخواه شود. جزئیات این آسیب‌پذیری‌ها به شرح زیر هست:

  • CVE-2024-6772: نقص در پیاده‌سازی  V8 
  • CVE-2024-6773: اشتباه در تشخیص نوع V8 
  • CVE-2024-6774: استفاده پس از آزادسازی در Screen Capture 
  • CVE-2024-6775: استفاده پس از آزادسازی در Streamها 
  • CVE-2024-6776: استفاده پس از آزادسازی در صوت 
  • CVE-2024-6777: استفاده پس از آزادسازی در Navigation 
  • CVE-2024-6778: مسابقه در ابزارهای توسعه (DevTools)  
  • CVE-2024-6779: دسترسی به حافظه خارج از محدوده درV8  

محصولات تحت تأثیر

  • نسخه‌های کروم قبل از  126.0.6478.182/183در سیستم‌عامل ویندوز و مک.
  • نسخه‌های کروم قبل از 126.0.6478.182 در سیستم‌عامل لینوکس.
  • کلیه نهاد های دولتی و کسب و کارها با هر سطحی در معرض آسیب‌پذیری مذکور قرار دارند.


توصیه‌های امنیتی 

  • به‌روزرسانی نرم‌افزار: فورأ در محصولات آسیب‌پذیر گوگل کروم به‌روزرسانی‌های مناسب اعمال گردد. 
  • به‌روزرسانی خودکار وصله‌های نرم‌افزاری: به‌روزرسانی‌های نرم‌‌افزاری به صورت خودکار و حداقل ماهانه روی دارایی‌های سازمانی اعمال گردد.
  • رفع آسیب‌پذیری‌های شناسایی شده: آسیب‌پذیری‌های شناسایی شده در نرم‌افزارها حداقل ماهانه بر اساس فرآیند رفع آسیب‌پذیری برطرف گردد.
  • اطمینان استفاده از مرورگرها و کلاینت‌های ایمیل پشتیبانی‌شده: سازمان باید مطمئن شود کاربران تنها از نسخه‌های رسمی و به‌روز مرورگرها و کلاینت‌های ایمیل استفاده می‌کنند.
  • استفاده از اصل حداقل دسترسی‌‌ها: هر کاربر، برنامه یا فرآیند، فقط حداقل دسترسی‌‌های مورد نیاز برای انجام وظایف خود داده شود. محدود کردن دسترسی‌ها به حداقل ممکن کمک می‌کند تا در صورت نفوذ مهاجم، آسیب‌ها و خسارت‌ها، به جداقل کاهش یابد.
  • محدود کردن و کنترل محتوای وب: محدود کردن دسترسی به وب‌سایت‌های خاص و مسدود کردن دانلود فایل‌ها و پیوست‌ها و مسدود کردن اجرای جاوا اسکریپت و محدود کردن استفاده از افزونه‌های مرورگر.
  • آموزش و آگاه‌سازی کاربران در خصوص تهدیدات ناشی از لینک‌های Hypertext در ایمیل‌ها یا پیوست‌ها، به ویژه از منابع غیرقابل اعتماد و ایجاد و حفظ برنامه آگاه‌سازی امنیتی سازمان


منبع خبر:


https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbit…
 

رفع آسیب‌پذیری بحرانی در Cisco Secure Email Software

تاریخ ایجاد

شرکت سیسکو یک آسیب‌‌پذیری بحرانی را برطرف کرده است که به مهاجمان اجازه می‌دهد کاربران جدیدی با دسترسی Root ایجاد کنند و دستگاه‌های درگاه امنیت ایمیل (SEG) را با استفاده از ایمیل‌های حاوی پیوست‌های مخرب به طور دائمی از کار بیندازند. این آسیب‌پذیری که با شناسه CVE-2024-20401 ثبت شده است سبب دسترسی به فایل دلخواه در ویژگی‌های اسکن محتوا و فیلترینگ پیام SEG می‌شود. آسیب‌پذیری مذکور، ناشی از یک ضعف مسیریابی مطلق در چگونگی مدیریت پیوست‌های ایمیل هنگام فعال بودن تجزیه و تحلیل فایل و فیلترهای محتوا است و بر روی دستگاه‌هایی تأثیر می‌گذارد که نسخه آسیب‌پذیر Cisco AsyncOS  را نصب کرده‌اند و همچنین ویژگی تحلیل فایل Cisco Advanced Malware Protection یا ویژگی فیلتر محتوا فعال باشد. 


محصولات تحت تأثیر

  • دستگاه‌هایی که Cisco Security Email Gateway (SEG)  را اجرا می‌کنند.
  • Cisco AsyncOS   
  • Cisco Content Scanner Tools  نسخه‌های قبل از 23.3.0.4823
  • Cisco Advanced Malware Protection  


توصیه‌های امنیتی 

  • اگر دستگاه‌های SEG از نسخه آسیب‌پذیر Cisco AsyncOS استفاده می‌کنند و همچنین ویژگی تجزیه و تحلیل فایل یا ویژگی فیلتر محتوا فعال است باید سریعأ به نسخه 23.3.0.4823 یا بالاتر از Content Scanner Tools ارتقاء یابد. برای رفع این آسیب‌پذیری نسخه وصله‌شده Cisco Content Scanner Tools به صورت پیش فرض در Cisco AsyncOS  برای نسخه‌های 15.5.1-055 و بالاتر نرم‌افزار Cisco Secure Email گنجانده شده است. بنابراین توصیه می شود محصول خود را هرچه سریع‌تر به نسخه 15.5.1-055 یا بالاتر از AsyncOS ارتقا دهید. 
  • غیرفعال‌سازی ویژگی‌های آسیب‌پذیر: در صورت عدم امکان اعمال به‌روزرسانی، مدیران سازمان باید ویژگی‌های تحلیل فایل بخشی از Cisco Advanced Malware Protection  و ویژگی فیلتر محتوا را که به یک سیاست ورودی ایمیل اختصاص داده شده‌اند غیرفعال کنند تا این آسیب‌پذیری را خنثی سازند.
  • آموزش کاربران: کاربران باید درباره خطرات ناشی از پیوست‌های مخرب ایمیل و اهمیت اعمال به‌روزرسانی نرم‌افزارها آموزش ببینند.
  • پشتیبان‌گیری و بازیابی اطلاعات: مدیران باید به ‌طور مرتب از اطلاعات مهم سیستم‌ها پشتیبان‌‌گیری کرده و روش‌های بازیابی در صورت بروز حمله را آماده کنند.


منبع خبر:


https://www.bleepingcomputer.com/news/security/critical-cisco-bug-lets-hackers-add-root-users-on-se…

کشف آسیب‌پذیری بحرانی در برنامه Electronic Official Document Management System

تاریخ ایجاد

به‌تازگی یک آسیب‌پذیری با شدت 8.8 و شناسه CVE-2024-6737 در برنامه Electronic Official Document Management System شرکت 2100 TECHNOLOGY کشف شده است. این آسیب‌پذیری به دلیل وجود نقص در پیاده‌سازی سیستم مدیریت دسترسی می‌باشد و از راه‌دور به مهاجمانی  که دارای دسترسی عادی‌ هستند، امکان دسترسی به تنظیمات حساب کاربری و ساخت حساب اربری با سطح دسترسی ادمین را می‌دهد.

محصولات تحت‌تأثیر
این آسیب‌پذیری تمامی نسخه‌های پیش از 5.0.77 برنامه Electronic Official Document Management System را تحت‌تأثیر قرار می‌دهد.

توصیه‌های امنیتی
با به‌روزرسانی نسخه برنامه Electronic Official Document Management System به 5.0.77 یا بالاتر این نقص امنیتی رفع می‌شود.

منبع خبر:



https://nvd.nist.gov/vuln/detail/CVE-2024-6737

کشف آسیب پذیری بحرانی در VMWare Aria Automation

تاریخ ایجاد

VMware نقص امنیتی بحرانی SQL-Injection را در محصول Aria Automation با شناسه CVE-2024-22280 برطرف کرده است.  با استفاده از این  آسیب‌پذیری،  مهاجم احراز هویت‌شده می‌تواند با وارد کردن کوئری‌های یک SQL خاص از این نقص امنیتی بهره‌‌برداری کرده و به صورت غیرمجاز، پایگاه داده عملیات خواندن یا نوشتن را انجام دهد.
پیش از این،  VMwareیک آسیب‌پذیری بحرانی با شناسه CVE-2023-34063 و شدت  CVSS 9.9  را  بر روی این پلتفرم برطرف کرده بود که مهاجم احراز هویت‌شده، با بهره‌برداری از آن می‌تواند از راه دور منجر به ایجاد دسترسی غیرمجاز در شبکه سازمان‌ها شود. VMware Aria Automation یک پلتفرم مدرن برای اتوماسیون ابری است که به ساده‌سازی و بهبود فرآیندهای استقرار و مدیریت و بر زیرساخت‌ها و برنامه‌های ابری می‌پردازد و به سازمان اجازه می‌دهد وظایف مختلف را در محیط‌های ابری مختلف به صورت خودکار انجام دهد. 

محصولات تحت تأثیر

  • نسخه 8.x از VMware Aria Automation
  • نسخه‌های 4.x  و 5.x از Cloud Foundation

توصیه‌های امنیتی 

  • اعمال به‌روزرسانی: اطمینان حاصل شود که VMware Aria Automation و VMware Cloud   Foundation  به آخرین نسخه‌های موجود به‌روزرسانی شده است.
  • مدیریت دسترسی‌ها: اعمال سیاست‌های دسترسی صحیح به سیستم‌‌ها و بانک¬های اطلاعاتی جهت جلوگیری دسترسی‌های غیرمجاز.
  • مانیتورینگ و نظارت: داشتن نظارت مداوم بر فعالیت‌های سامانه¬ها و زیرساخت سازمان و نصب سیستم‌های ثبت وقایع به منظور شناسایی سریع‌ترین حملات و نقض‌های امنیتی موجود.


منبع خبر:


https://securityaffairs.com/165560/security/vmware-aria-automation-critical-sql-injection.html
 

کشف آسیب‌پذیری بحرانی در مادربردهای Supermicro

تاریخ ایجاد

به تازگی یک آسیب‌‌‌‌‌‌‌‌پذیری بحرانی با شناسه CVE-2024-36435 و شدت 9.8 در برخی از مادربردهای Supermicro  کشف شده است. در این آسیب‌پذیری مهاجم احراز هویت نشده می‌‌‌‌‌‌‌‌تواند داده‌‌‌‌‌‌‌‌های دستکاری‌‌‌‌‌‌‌‌شده که موجب سرریز بافر پشته می‌‌‌‌‌‌‌‌شود را به رابطی که پشته را راه‌اندازی می‌کند ارسال کند. این امر ممکن است منجر به اجرای کد دلخواه مهاجم از راه دور بر روی BMC (میکروکنترلر تخصصی تعبیه شده روی مادربرد) شود.

محصولات تحت‌تأثیر
این آسیب‌‌‌‌‌‌‌‌پذیری سخت‌‌‌‌‌‌‌‌افزار BMC مادربردهای زیر و ماژول‌‌‌‌‌‌‌‌های CMM6 را تحت‌تأثیر قرار می‌دهد:
•    X11
•    X12
•    B12
•    X13
•    H13
•    B13

توصیه‌های امنیتی
نسخه به‌‌‌‌‌‌‌‌روزرسانی‌‌‌‌‌‌‌‌شده سخت‌‌‌‌‌‌‌‌افزار BMC جهت کاهش این آسیب‌‌‌‌‌‌‌‌پذیری احتمالی ایجاد شده و در دسترس است. برنامه SKU تمامی مادربردهای آسیب‌‌‌‌‌‌‌‌پذیر به این نسخه جدید نیاز دارند. همچنین برای کاهش سطح حمله توصیه می‌‌‌‌‌‌‌‌شود از راهنمای پیکربندی BMC به نام BMC Configuration Best Practices Guide برای تنظیم session timeout پیروی گردد.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-36435