محققان امنیت سایبری اخیراً نسبت به بهره‌برداری از یک آسیب‌پذیری بحرانی در سرویس open-source واسطه پیام به نام Apache ActiveMQ، هشدار می‌دهند. این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور شود. شرکت امنیت سایبری Rapid7 در گزارشی اعلام کرد: « در هر دو مورد بهره‌برداری از این آسیب‌پذیری، مهاجمان تلاش کردند با استقرار باج‌افزار در سیستم‌های هدف، از قربانیان باج‌گیری کنند». محققان اعلام کرده‌اند که تاکنون 3326 مورد سرور ActiveMQ با قابلیت دسترسی به اینترنت شناسایی شده است که تحت تأثیر آسیب‌پذیری مذکور قرار دارند. آسیب‌پذیری مورد بحث با شناسه CVE-2023-46604 و شدت 10.0، یک نقص بحرانی اجرای کد از راه دور در Apache ActiveMQ است که به مهاجم اجازه می‌دهد تا دستورات shell دلخواه را اجرا کند.
 

محصولات تحت تأثیر

محصولات و نسخه‌های زیر تحت تأثیر آسیب‌پذیری فوق قرار دارند:
•    Apache ActiveMQ 5.18.0  تا قبل ازنسخه 5.18.3
•    Apache ActiveMQ 5.17.0 تا قبل از نسخه 5.16.7
•    Apache ActiveMQ 5.15.6 و نسخه های قبل از آن
•    نسخه‌های قبل از Apache ActiveMQ 5.15.6
•    Apache ActiveMQ Legacy OpenWire Module 5.18.0 تا قبل از نسخه 5.18.3
•    Apache ActiveMQ Legacy OpenWire Module 5.17.0 تا قبل از نسخه 5.17.6
•    Apache ActiveMQ Legacy OpenWire Module 5.16.0 تا قبل از نسخه 5.16.7
•    Apache ActiveMQ Legacy OpenWire Module 5. 8.0 تا قبل از نسخه 5.15.16

توصیه‌های امنیتی
با توجه به اینکه مهاجمان همچنان در حال بهره‌برداری از این آسیب‌پذیری هستند، به کاربران توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی ActiveMQ به نسخه‌های وصله‌شده اقدام نمایند و همچنین شبکه‌های خود را جهت شناسایی تهدیدات احتمالی، اسکن کنند. آسیب‌پذیری مذکور در نسخه‌های 5.15.16، 5.16.7، 5.17.6 و 5.18.3 رفع شده است.

منبع خبر:

[1] https://thehackernews.com/2023/11/hellokitty-ransomware-group-exploiting.html?m=1

بازیگری که محققان امنیتی آن را Prolific Puma می‌نامند، حداقل چهار سال است که خدمات کوتاه‌سازی لینک را به مجرمان سایبری ارائه می‌کند، درحالی‌که به قدر کافی مخفیانه عمل می کند تا به طور ناشناخته بماند. در کمتر از یک ماه، Prolific Puma هزاران دامنه را ثبت کرده است که بسیاری از آن‌ها در دامنه سطح بالای ایالات متحده (usTLD) هستند تا به ارسال فیشینگ، کلاهبرداری و بدافزار کمک کند. محققان Infoblox، یک فروشنده امنیتی متمرکز بر DNS که روزانه 70 میلیارد درخواست DNS را بررسی می‌کند، برای اولین بار شش ماه پیش، پس از شناسایی یک الگوریتم تولید دامنه ثبت‌شده (RDGA) جهت ایجاد نام دامنه برای کوتاه کردن سرویس مخرب URL، فعالیت Prolific Puma را مشاهده کردند.
با استفاده از آشکارسازهای تخصصی DNS، محققان توانستند این شبکه مخرب را در حین تکامل ردیابی کنند و از usTLD برای تسهیل جرم در اینترنت سوءاستفاده کردند. به دلیل ماهیت خدمات کوتاه‌کننده لینک، Infoblox می‌تواند لینک‌های کوتاه را ردیابی کند. اما به جهت تعداد زیادی دامنه های به هم پیوسته با رفتار مشکوک، نمی تواند صفحه فرودهای نهایی را ردیابی کند.
برخی از لینک‌های کوتاه Prolific Puma مستقیماً به مقصد نهایی منتهی می‌شوند، اما برخی دیگر به تغییر مسیرهای متعدد، حتی سایر پیوندهای کوتاه‌شده، قبل از رسیدن به صفحه فرود اشاره می‌کنند. به دلیل این ناهماهنگی در آنچه پیوندهای کوتاه Prolific Puma بارگذاری می‌شود، محققان بر این باورند که چندین بازیگر از این سرویس استفاده می‌کنند. روش تحویل این پیوندها نیز متفاوت است و شامل رسانه‌های اجتماعی و تبلیغات می‌شود، اما شواهد نشان می‌دهد که پیام‌های متنی به‌عنوان کانال اصلی هستند.

اندازه عملیات Prolific Puma که توسط Infoblox کشف‌شده است، چشمگیر است. این بازیگر از آوریل 2022 بیش از 75000 نام دامنه منحصر به فرد را ثبت کرده است.

source: Infoblox

دامنه‌های پرکار Prolific Puma در 13 TLD پخش‌شده‌اند. بااین‌حال، از ماه مه امسال، بازیگر از usTLD برای بیش از نیمی از کل دامنه‌های ایجادشده استفاده کرده است که میانگین روزانه آن 43 است. از اواسط اکتبر، محققان نزدیک به 2000 دامنه را در usTLD مشاهده کردند که نشان‌دهنده فعالیت Prolific Puma است که پشت حفاظت از ثبت خصوصی است.
 شایان ذکر است که ثبت نام خصوصی در فضای نام.US طبق سیاست فعلی مجاز نمی‌باشد و ثبت‌نام کننده ملزم به ارائه اطلاعات دقیق و واقعی است. علاوه بر این، ثبت‌کنندگان موظف هستند که ثبت دامنه خصوصی را به ثبت کنندگان نام دامنه.US ارائه ندهند. Infoblox توانست از طریق الگوریتم‌هایی که دامنه‌های مشکوک یا مخرب را علامت‌گذاری می‌کنند، این عملیات عظیم را کشف کند. از طریق گزارش‌های جستجوی غیرفعال DNS، دامنه‌های تازه درخواست‌شده، ثبت‌شده یا پیکربندی‌شده ارزیابی می‌شوند و درصورتی‌که معیارهای مرتبط کردن آن‌ها با یک عامل تهدید DNS را داشته باشند، به‌عنوان مشکوک یا مخرب علامت‌گذاری می‌شوند.
گزارش Infoblox مجموعه‌ای از شاخص‌ها را برای فعالیت Prolific Puma ارائه می‌کند که شامل لینک های کوتاه کننده آدرس‌های IP میزبان و دامنه‌ها، تغییر مسیر و صفحات فرود و یک آدرس ایمیل موجود در داده‌های ثبت دامنه است.
منبع

آسیب‌پذیری‌ امنیتی با شناسه‌ CVE-2023-44220 و شدت 7.3 در  SonicWall شناسایی شده است که امکان DLL Search Order Hijacking  در مؤلفه  start-up DLL در SonicWall NetExtender Windows (32-bit and 64-bit) client را برای مهاجم لوکال به وجود می‌آورد. این آسیب‌پذیری منجر به اجرای دستورات دلخواه در سیستم هدف می‌شود.
همچنین آسیب‌پذیری دیگری با شناسه CVE-2023-44219 و شدت 7.3 در محصولات این شرکت کشف شده است که امکان افزایش امتیاز و دستیابی به امتیازات سیستمی از طریق اجرای ویژگی بازیابی (recovery feature)  در SonicWall Directory Services Connector Windows MSI client را برای مهاجم لوکال فراهم می‌آورد.
 

محصولات تحت تأثیر
 

توصیه‌های امنیتی

توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء محصولات تحت تأثیر به نسخه‌های وصله ‌شده اقدام نمایند.
 

منایع خبر:

[1] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0017
[2] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0016

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-5472 و شدت بالا در Google Chrome شناسایی شده است که از راه دور امکان Use-After-Free و بهره‌برداری از طریق یک صفحه HTML دستکاری‌شده را برای مهاجم فراهم می‌آورد. تیم امنیتی کروم جزییات فنی آسیب‌پذیری مذکور را ارائه نداده‌اند و تنها اذعان داشته‌اند که آسیب‌پذیری مربوط به بخش Profiles مرورگر گوگل کروم می‌باشد و امکان اجرای کد دلخواه، انجام حمله انکار سرویس و افشای اطلاعات را از راه دور به مهاجمان خواهد داد.
 

محصولات تحت تأثیر
 

توصیه‌ امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Google Chrome به نسخه‌ 118.0.5993.117 اقدام نمایند.

منبع خبر:

[1]https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_24.html

 

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-4967 و شدت 8.2 در چند محصولCitrix  شناسایی شده است. این محصولات در صورتی که به عنوان یک Gateway (سرور مجازی VPN، پروکسی ICA، CVPN، پروکسی RDP) یا سرور مجازی AAA پیکربندی شده باشند، امکان حمله انکار سرویس را برای مهاجم فراهم می‌آورند.
 

محصولات تحت تأثیر
 

با توجه به اینکه نسخه 12.1 محصولات NetScaler ADC  وNetScaler Gateway  در حال حاضر از رده خارج شده‌اند، آسیب‌پذیر هستند.
 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء NetScaler ADC و NetScaler Gateway   به نسخه‌های وصله ‌شده اقدام نمایند.
تنها محصولات عنوان شده تحت تأثیر این آسیب‌پذیری قرار دارند و کاربرانی که از خدمات ابری مدیریت شده Citrix  (managed cloud services) یا Citrix managed Adaptive Authentication استفاده می‌کنند، نیازی به انجام هیچ اقدامی ندارند.
 

منبع خبر:

[1] https://support.citrix.com/article/CTX579459

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-40685 و شدت 7.4 در IBM شناسایی شده است که امکان ارتقاء سطح دسترسی محلی جهت بدست آوردن دسترسی root به سیستم‌عامل را برای مهاجم فراهم می‌آورد. IBM i به دلیل وجود نقص در Management Central در برابر ارتقاء سطح دسترسی محلی آسیب پذیر است. این آسیب‌پذیری‌ حتی زمانی که Management Central برای مدیریت سیستم‌ها بکار گرفته نمی‌شود نیز وجود دارد.

محصولات تحت تأثیر

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسخه‌های آسیب‌پذیر را به نسخه به‌روزرسانی‌شده ارتقاء دهند. 

منبع خبر:

[1] https://www.ibm.com/support/pages/node/7060686  

سه آسیب‌پذیری با شدت بالا در کنترل‌کننده NGINX Ingress در Kubernetes شناسایی شده‌اند که اگر مهاجمان بتوانند تنظیمات Ingress object را کنترل کنند، می‌توانند به داده‌های محرمانه در Kubernetes دسترسی پیدا کنند. این آسیب‌پذیری‌ها با شناسه‌های CVE-2022-4886 دارای درجه حساسیت 8.8، CVE-2023-5043 دارای درجه حساسیت 7.6 و CVE-2023-5044 دارای درجه حساسیت 7.6 قابل پیگیری بوده و در نسخه 1.19  NGINX برطرف شده‌اند.
این آسیب‌پذیری‌ها به مهاجمان امکان می‌دهند که دستورات دلخواه خود را در فرآیند ingress controller اجرا کنند و به سطح دسترسی API server Kubernetes که دارای دسترسی بالایی است، دست‌یابند. API server Kubernetes یک نقطه مرکزی برای مدیریت و تعامل با منابع Kubernetes است. 

آسیب‌پذیری با شناسه CVE-2022-4886 به علت عدم اعتبارسنجی مناسب در فیلد spec.rules[].http.paths[].path به وجود آمده است. این فیلد مشخص می‌کند که کدام مسیر HTTP  وارد شده توسط کاربر به چه سرویس داخلی Kubernetes هدایت شود. با سوءاستفاده از این آسیب‌پذیری، مهاجم می‌تواند به فایل داخلی ingress controller که حاوی توکن service account  است، دسترسی پیدا کند. این توکن service account گواهینامه احراز هویت ingress controller  برای برقراری ارتباط با API server Kubernetes است.

شناسه‌های CVE-2023-5043 و CVE-2023-5044 مربوط به دو آسیب‌پذیری هستند که به علت عدم فعال بودن پارامتر "--enable-annotation-validation" در ingress controller به وجود آمده‌اند. با استفاده از این پارامتر، ingress controller  محدودیت‌های بیشتری بر روی فضای نام annotation های Ingress object در نظر می‌گیرد. annotation ها فضای نامی هستند که در آن تغییرات رفتار ingress controller قابل تعریف هستند. با سوءاستفاده از annotation های   configuration-snippet و permanent-redirect، مهاجم می‌تواند کد دلخواه خود را در ingress controller  اجرا کند.
برای کاهش تاثیرات این آسیب‌پذیری و رفع آن، توصیه می‌شود که آخرین به‌روزرسانی NGINX به نسخه 1.19 انجام شده و دستور "--enable-annotation-validation" را در محیط خط فرمان پیکربندی اجرا کنید. همچنین، برای جلوگیری از دسترسی غیرمجاز به توکن service account، می‌توان از راه‌حل‌های امنیتی توصیه شده مانند ARMO  استفاده شود که ingress controller را با استفاده از روش‌هایی مانند encryption-in-transit  و encryption-in-rest محافظت می‌کند.

منابع:

شرکت VMware در خصوص یک بهره‌برداری PoC (اثبات مفهوم) به کاربران هشدار داده است. این آسیب‌پذیری با شدت 8.1 و شناسه CVE-2023-34051 می‌تواند منجر به دور زدن فرآیند احراز هویت و اجرای کد از راه دور شود.

محصولات تحت تأثیر
این آسیب‌پذیری نسخه 8.12 محصول VMware Aria Operations for Logs را تحت تأثیر خود قرار می‌دهد.

توصیه‌های امنیتی
بهره برداری موفق از CVE-2023-4966، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) را بر آن داشته است تا آن را به فهرست آسیب‌پذیری‌های بهره‌برداری‌شده (KEV) اضافه کند و آژانس‌های فدرال در ایالات متحده را ملزم کرد تا آخرین وصله‌های امنیتی منتشر شده را تا 8 نوامبر 2023 اعمال کنند. این آسیب‌پذیری در نسخه 8.14 محصول VMware Aria Operations for Logs برطرف شده است.

منابع خبر:

[1]https://thehackernews-com.translate.goog/2023/10/alert-poc-exploits-released-for-citrix.html?_x_tr_…

[2] https://www.vmware.com/security/advisories/VMSA-2023-0021.html

محققان امنیتی شرکت F5 از وجود یک آسیب‌پذیری بحرانی با شناسه CVE-2023-46747 و شدت 9.8 در محصول  BIG-IP خبر داده‌اند. این آسیب‌پذیری به مهاجم اجازه می‌دهد تا بتواند از طریق ارتباط با IP و پورت مدیریتی این محصول، فرایند احرازهویت موجود را دور زده و بعد از به دست آوردن دسترسی لازم، روی محصول آسیب‌پذیر کنترل کامل داشته باشد. مهاجم در ادامه قادر است از طریق حمله اجرای کد از راه دور (RCE) دستورات سیستمی با سطح دسترسی root اجرا کند. به گفته محققان مراحل اجرای این حمله شباهت‌های زیادی به آسیب‌پذیری CVE- 2022-26377 دارد.

محصولات تحت تأثیر 
نسخه‌های آسیب‌پذیر BIG-IP  عبارتند از:
•    17.1.0
•    16.1.0 تا  16.1.4
•    15.1.0  تا  15.1.10
•    14.1.0 تا  14.1.5
•    13.1.0 تا  13.1.5

توصیه‌های امنیتی
در جدول زیر لیست نسخه‌های وصله‌شده منتشر شده برای محصول BIG-IP آمده است. لذا کاربران باید هرچه سریع‌تر نسخه‌ مورد استفاده خود را به نسخه ارائه‌شده به‌روزرسانی کنند.
 

منابع خبر:

[1]https://thehackernews.com/2023/10/f5-issues-warning-big-ip-vulnerability.html 
[2]https://my.f5.com/manage/s/article/K000137353 
[3] https://www.praetorian.com/blog/refresh-compromising-f5-big-ip-with-request-smuggling-cve-2023-4674…

یک آسیب‌پذیری بحرانی در مرورگر Microsoft Edge  کشف شده است که محرمانگی، یکپارچگی و در دسترس بودن را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری با شدت بحرانی و شناسه  CVE-2023-44323 در تاریخ 2023/10/28 منتشر شده است.  بهره برداری موفقیت آمیز از این نقص امنیتی مستلزم تعامل با کاربر هدف می‌باشد. جزئیات فنی ناشناخته بوده و روش بهره‌بردرای از آن نیز در دسترس نمی‌باشد. 

محصولات تحت تأثیر
مرورگر microsoft edge نسخه قبل از 118.0.2088.76 تحت تأثیر این آسیب‌پذیری قرار خواهند گرفت.

توصیه‌های امنیتی
ارتقاء به نسخه 118.0.2088.76 و بعدتر مرورگر microsoft edge

منابع خبر:

[1] https://vuldb.com/?id.243806
[2] https://www.hkcert.org/security-bulletin/microsoft-edge-multiple-vulnerabilities_20231030