کشف آسیب‌پذیری در OpenVPN ویندوز

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-27903 و شدت بحرانی 9.8 در OpenVPN plug-ins شناسایی شده است. نسخه ۲.۶.۹ و قبل‌تر OpenVPN را می‌توان در هر پوشه‌ای از سیستم‌عامل ویندوز اجرا کرد؛ در نتیجه مهاجم امکان اجرای افزونه را از هر پوشه‌ای دارد که  این امر می‌تواند منجر به دسترسی غیرمجاز به سرویس تعاملی OpenVPN  با سطح دسترسی بالاتر می‌شود. بر اساس  بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H، بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U). در بدترین شرایط (قربانی شدن کاربری با سطح دسترسی ادمین)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).

محصولات تحت‌تأثیر
نسخه ۲.۶.۹ و پایین‌تر  OpenVPN آسیب‌پذیر می‌باشند.
 

توصیه امنیتی
به کاربران توصیه می‌شود که OpenVPN ویندوز را به آخرین نسخه (۲.۶.۱۰ یا ۲.۵.۱۰) به‌روزرسانی کرده و اقدامات لازم را جهت محافظت از سیستم‌های خود انجام دهند.

منابع خبر:


[1]    https://openvpn.net/security-advisory/ovpnx-vulnerability-cve-2024-27903-cve-2024-27459-cve-2024-24…
[2]    https://www.tenable.com/cve/CVE-2024-27903
[3]    https://nvd.nist.gov/vuln/detail/CVE-2024-27903

کشف آسیب‌پذیری بحرانی در ابزار aimhubio/aim

تاریخ ایجاد

به تازگی یک آسیب‌پذیری بحرانی با شناسه CVE-2024-6396 و شدت 9.8 در تابع _backup_run ابزار aimhubio/aim کشف شده است. این آسیب‌پذیری از راه دور به مهاجمان اجازه می‌دهد تا فایل‌های سرور میزبان را بازنویسی و داده‌های دلخواه را استخراج کنند. این امر می‌تواند موجب محروم‌سازی از سرویس به دلیل بازنویسی فایل‌های حیاتی سیستم، از دست رفتن داده‌های خصوصی و اجرای کد از راه دور شود.


محصولات تحت‌تأثیر
این آسیب‌پذیری در نسخه 3.19.3 ابزار aimhubio/aim وجود دارد.


توصیه‌های امنیتی
در حال حاضر آسیب‌پذیری مذکور در انتظار تجزیه و تحلیل است و تاکنون راه حلی برای رفع آن منتشر نشده است.


منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-6396
 

 

بهره‌برداری مهاجمان از آسیب‌پذیری RCE در Ghostscript

تاریخ ایجاد

یک آسیب‌پذیری اجرای کد از راه دور در کتابخانه تبدیل اسناد Ghostscript وجود دارد که در سیستم‌های لینوکسی به طور وسیع از آن استفاده می‌شود و به طور پیش‌فرض بر روی اکثر توزیع‌های لینوکس نصب است. مهاجمان در حال بهره‌برداری از این آسیب‌پذیری با شناسه CVE-2024-29510 می‌باشند. این حمله با استفاده از فایل‌های EPS (PostScript) انجام می‌شود که به عنوان یک عکس JPG خود را جا می‌زنند و پس از اجرا دسترسی shell برای مهاجم فراهم می‌شود.
کتابخانه Ghostscript که به طور پیش‌فرض بر روی اکثر توزیع‌های لینوکس نصب است، توسط بسیاری از برنامه‌ها مانند ImageMagick، LibreOffice، GIMP، Inkscape، Scribus و سیستم پرینت CUPS مورد استفاده قرار می‌گیرد. این آسیبپذیری به مهاجمان اجازه می‌دهد جعبه شنی -dSAFER را دور بزنند زیرا نسخه‌های وصله نشده Ghostscript در جلوگیری از تغییر در رشته‌های آرگومان uniprint device بعد از فعال شدن جعبه شنی موفق نیستند. این حمله اجازه اجرای عملیاتی مانند اجرای کد و file I/O را با استفاده از مفسر Ghostscript Postscript فراهم می‌کند درحالی که معمولاً جعبه شنی باید جلوی آن را بگیرد.
برنامه‌های تحت وب و سایر سرویس‌هایی که تبدیل اسناد با کمک Ghostscript را فراهم می‌کنند تحت تاثیر این آسیب‌پذیری قرار دارند.

نسخه‌های تحت تاثیر
نسخه 10.03.0 و قبل‌تر کتابخانه Ghostscript تحت تاثیر این آسیب‌پذیری قرار دارد.

توصیه‌های امنیتی
جهت تشخیص آسیب‌پذیر بودن سیستم ابتدا کدهای زیر را در یک فایل به نام CVE-2024-29510_testkit.ps ذخیره نمایید:
 

1

سپس دستور زیر را اجرا نمایید:

ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps

در صورت آسیب‌پذیر بودن پیغام زیر نمایش داده می‌شود:
 

2

در صورت آسیب‌پذیر بودن در توزیع ubuntu می‌توانید با دستورات زیر سیستم را به‌روزرسانی نمایید:

sudo apt update
sudo apt full-upgrade

پس از اجرای دستورات فوق دوباره اسکریپت را اجرا می‌کنیم و مشاهده می‌کنیم که آسیب‌پذیری برطرف شده است:
 

3

منابع خبر:


[1] https://www.bleepingcomputer.com/news/security/rce-bug-in-widely-used-ghostscript-library-now-explo…
[2] https://vulnera.com/newswire/ghostscript-librarys-rce-bug-now-being-exploited-in-attacks
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-29510

 

کشف آسیب‌پذیری بحرانی در نرم‌افزار mySCADA myPRO

تاریخ ایجاد

یک آسیب‌پذیری با شناسه cve-2024-4708 و شدت 9.3 (بحرانی) در نرم‌افزار mySCADA myPRO کشف شده است که در آن رمز عبور در متن کد، ذخیره شده و به یک نقص بحرانی در عملکرد احراز هویت سیستم منتهی می‌شود که تشخیص آن برای مدیر سیستم سخت است.
این آسیب‌پذیری به این صورت است که یک حساب کاربری مدیریت پیش‌فرض ایجاد می‌شود و یک رمز عبور ساده در متن کد نوشته شده و به محصول اضافه می‌شود که متعلق به‌حساب کاربری مدیریت است. این رمز عبور برای هر نسخه نصب شده محصول یکسان است اگر رمز عبور کشف یا منتشر شود، هر کسی که به این رمز عبور دسترسی داشته باشد می‌تواند به پنل مدیریت محصول دسترسی پیدا کند. از آنجا که تمام نصب‌های محصول از همان رمز عبور استفاده می‌کنند، در سازمان‌های مختلف، امکان حملات ویروسی همچون کرم فراهم می‌شود.

محصولات تحت‌تأثیر
نسخه‌های تحت‌تأثیر این آسیب‌پذیری عبارتند از:
•    7
•    8.20.0
•    8.26
•    8.27.0
•    8.29.0

توصیه‌های امنیتی
به کاربران توصیه می‌شود که  نسخه‌های آسیب‌پذیر را به نسخه 8.31.0  به‌روزرسانی کنند.

منابع خبر:


[1]    https://vuldb.com/?id.270252
[2]    https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-02
[3]    https://www.myscada.org/mypro/

به‌روزرسانی حیاتی روترهای Juniper

تاریخ ایجاد

جونیپر به‌روزرسانی‌های امنیتی out-of-band را برای رفع یک نقص امنیتی مهم در روترهای این شرکت منتشر کرده است که می‌تواند منجر به دور زدن احراز هویت در برخی از روترها گردد. این آسیب‌پذیری که با شناسه CVE-2024-2973و  شدت  CVSS 10.0 (بحرانی) شناخته شده است با استفاده از مسیر یا کانال جایگزین در روتر به یک مهاجم در بستر شبکه اجازه می‌دهد تا احراز هویت را دور بزند و کنترل کامل دستگاه را به دست گیرد.

محصولات تحت تأثیر

  •  Session Smart Router  :تمام نسخه‌های قبل از 5.6.15  از  6.0 تا 6.1.9-lts و از 6.2 تا 6.2.5-sts
  • Session Smart Conductor : تمام نسخه‌های قبل از 5.6.15  از  6.0 تا 6.1.9-lts و از 6.2 تا 6.2.5-sts
  •   WAN Assurance Router: تمام نسخه‌های 6.06 قبل از 6.1.9-lts  و نسخه‌های قبل از 6.2.5-sts


توصیه‌های امنیتی

  •  اعمال به‌روزرسانی‌های امنیتی: کاربران باید به سرعت به‌روزرسانی‌های امنیتی جدید شرکت Juniper Networks را بر روی روترها و تجهیزات مربوطه اعمال کنند.
  •  بررسی تنظیمات تجهیزات: اگر تجهیزات روتر از تنظیمات  high-availability redundant configurations  استفاده می‌کنند لازم است تنظیمات را بررسی کرده و اطمینان حاصل کنند که بروزرسانی‌های لازم اعمال شده‌اند.


منابع خبر:


[1] https://thehackernews.com/2024/07/juniper-networks-releases-critical.html
[2] https://www.bleepingcomputer.com/news/security/juniper-releases-out-of-cycle-fix-for-max-severity-a…

آسیب‌پذیری در سیستم‌عامل سوئیچ‌های سری Nexus شرکت سیسکو

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2024-20399، امتیاز 6.0 و شدت متوسط در رابط خط فرمان (CLI) سیستم عامل سوئیچ‌های سری Nexus شرکت سیسکو کشف شده است. این آسیب‌پذیری به یک مهاجم محلی با سطح دسترسی root اجازه می‌دهد تا دستورات دلخواه را بر روی سوئیچ اجرا کند.
این آسیب‌پذیری به دلیل اعتبارسنجی ناکافی آرگومان‌های دستورات CLI پیکربندی خاص ایجاد شده است. مهاجم می‌تواند با قرار دادن ورودی‌های مخرب به عنوان آرگومان این دستورات، از این آسیب‌پذیری بهره‌برداری کند. بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری به مهاجم اجازه می‌دهد تا دستورات دلخواه را با سطح دسترسی root بر روی سیستم عامل زیربنایی اجرا کند.
توجه: برای بهره‌برداری از این آسیب‌پذیری بر روی سوئیچ‌های سیسکو NX-OS، مهاجم باید دارای دسترسی‌های مدیریتی باشد.

محصولات تحت تأثیر
•    سوئیچ‌های سری MDS 9000
•    سوئیچ‌های سری Nexus 3000
•    سوئیچ‌های سری Nexus 5500
•    سوئیچ‌های سری Nexus 5600
•    سوئیچ‌های سری Nexus 6000
•    سوئیچ‌های سری Nexus 7000
•    سوئیچ‌های سری Nexus 9000 در حالت مستقل NX-OS

 توصیه‌های امنیتی
•    سیسکو وصله‌های امنیتی را برای رفع این آسیب‌پذیری منتشر کرده است. به شدت توصیه می‌شود که در اسرع وقت وصله‌ها بر روی سوئیچ‌های آسیب‌پذیر نصب شود.
•    تا زمان نصب وصله، راه‌حلی برای رفع این آسیب‌پذیری وجود ندارد.


منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-20399
[2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-cmd-inj…

کشف سه آسیب‌پذیری بحرانی در پلتفرم Splunk

تاریخ ایجاد

سه آسیب پذیری با مشخصات زیر در Splink، پلتفرم جمع‌آوری، مدیریت و تحلیل  لاگ‌ها و داده‌های سیستم‌ها، شناسایی شده است:
1) آسیب‌ پذیری  Command Injectionدر بخش  External Lookups  که مربوط به ارتباط با منابع خارجی و اجرای دستورات خارجی در محیطSplunk  می‌باشد، به مهاجم اجازه می‌دهد با استفاده از  External Lookups و دستور "runshellscript" کدهای مخرب را در سرور Splunk اجرا کند. این آسیب‌پذیری با شناسه CVE-2024-36983 و شدت 8.0 گزارش شده است. 
2) آسیب‌پذیری Denial of Service در بخش REST API  که مربوط به ارائه و مدیریت اطلاعات و تعاملات بین سیستم‌ها و برنامه‌های مختلف است، وجود دارد. این آسیب پذیری می‌تواند به مهاجم اجازه دهد تا حمله  DoS را از طریق استفاده از مرجع اشاره‌گر null  در نقطه پایانی REST به نام "cluster/config" انجام دهد. حمله به این نقطه پایانی می‌تواند منجر به خرابیdaemon  شود. این آسیب‌پذیری با شناسه CVE-2024-36982 و با شدت 7.5 گزارش شده است.
3) آسیب‌پذیری تزریق کد از راه دور، در بخش Splunk Web شناسایی شده است.  Splunk Webبه کاربران اجازه می‌دهد تا از طریق مرورگر وب با Splunk ارتباط برقرار کرده، queryها را اجرا و نتایج را مشاهده کنند و همچنین از طریق تغییر پیام‌های session، کدهای مخرب را در سیستم Splunk اجرا کنند. این آسیب‌پذیری با شناسه CVE-2024-36984 و شدت 8.8 گزارش شده است. مهاجم می‌تواند با استفاده از یکquery  تقلبی و استفاده از دستور collect SPL، فایلی را ایجاد کند و می‌تواند از این فایل برای ارسال یک payload استفاده کند که منجر به اجرای arbitrary code در سیستم می‌شود. این عملیات به مهاجم اجازه می‌دهد تا دستورات خطرناک و اسکریپت‌های مخرب را اجرا کند، که می‌تواند به کنترل کامل بر روی سیستم Splunk منجر شود.

محصولات تحت تأثیر
Splunk Enterprise : نسخه  9.0.0 تا 9.0.9 و نسخه 9.1.0 تا 9.1.4 و نسخه 9.2.0 تا 9.2.1
Splunk cloud platform : نسخه 9.1.2312.100 تا 9.1.2312.108 و قبل از از 9.1.2308.207

توصیه‌های امنیتی 

  • اعمال به‌روزرسانی نرم‌افزار: کاربران  Splunk Enterprise و Splunk cloud platform باید نسخه مورد استفاده در سازمان خود را به نسخه بالاتر ارتقاء دهند. 
  •  نظارت مداوم : Splunk به طور فعال برای شناسایی و رفع مشکلات احتمالی ناشی از این آسیب‌‌پذیری نظارت می‌کند توصیه می‌شود کاربران نیز سیستم‌های خود را به‌ طور مداوم مانیتور کنند تا هرگونه فعالیت مشکوک را به سرعت شناسایی و متوقف کنند.
  • بررسی و محدود کردن دسترسی ها : کاربران باید دسترسی‌های کاربران احراز هویت شده را بررسی کرده و اطمینان حاصل کنند که هیچ کاربر غیرمجازی نمی¬‌تواند به External Lookups دسترسی داشته باشد.
  • انجام آزمون‌های نفوذ : (Penetration Testing) مدیران فناوری اطلاعات سازمان¬ها به منظور شناسایی آسیب‌پذیری‌های جدید و مقابله با آنها باید بصورت دوره‌ای، آزمون نفوذ را بر روی سیستم‌های Splunk انجام دهند. 


منابع خبر:


[1] https://advisory.splunk.com/advisories/SVD-2024-0703  
[2] https://advisory.splunk.com/advisories/SVD-2024-0702
[3] https://advisory.splunk.com/advisories/SVD-2024-0704
[4] https://cybersecuritynews.com/multiple-flaws-splunk-enterprise/

کشف آسیب‌پذیری اجرای کد از راه دور در OpenSSH server

تاریخ ایجاد

یک آسیب‌پذیری اجرای کد از راه دور بدون نیاز به تصدیق هویت در OpenSSH server (sshd) کشف شده است که در سیستم‌های لینوکسی مبتنی بر glibc قابل بهره‌برداری می‌باشد. شناسه CVE-2024-6387 به این آسیب‌پذیری اختصاص یافته و دارای امتیاز 8.1 در سیستم CVSS 3.x می‌باشد. این آسیب‌پذیری از نوع signal handler race condition است که به مهاجمان اجازه می‌دهد بدون نیاز به تصدیق هویت کدهای خود را با سطح دسترسی روت در سیستم‌های لینوکسی مبتنی بر glibc اجرا کنند که در تنظیمات پیش‌فرض sshd قابل بهره‌برداری است. نام regreSSHion به این آسیب‌پذیری اختصاص یافته است. حدود 14 میلیون سرور در اینترنت شناسایی شده‌اند که به طور بالقوه آسیبپذیر هستند.
OpenSSH مجموعه‌ای از ابزارهای شبکه مبتنی بر پروتکل SSH است که کاربرد اصلی آن اتصال امن از راه دور به سرور و مدیریت آن و انتقال امن فایلها بر روی سرور می‌باشد.
اگر یک کلاینت در مدت زمان تعیین شده در قسمت LoginGraceTime seconds که به طور پیش‌فرض 120 ثانیه است موفق به لاگین نشود، SIGALRM handler در sshd به صورت ناهمزمان توابع متنوعی را صدا می‌زند که async-signal-safe نیستند. یک مهاجم می‌تواند از این نقص بهره‌برداری کرده و کدهای دلخواه را با سطح دسترسی روت اجرا نماید. بهره‌برداری از regreSSHion می‌تواند عواقب شدیدی برای سرورهای تحت تاثیر داشته باشد و در  نهایت منجر به دسترسی کامل به سیستم شود.
بهره‌برداری از regreSSHion دارای پیچیدگی است و نیازمند چندین تلاش جهت رسیدن بهmemory corruption لازم جهت اجرای کد از راه دور می‌باشد. جزئیات بیشتر این آسیب‌پذیری توسط شرکت qualys منتشر شده است.

محصولات تحت تاثیر
•    نسخه‌های قبل از 4.4p1 در برابر signal handler race condition آسیب‌پذیر هستند، مگر اینکه وصله‌ای برای آسیب‎پذیری‌های CVE-2006-5051 و CVE-2008-4109 را نصب کرده باشند.
•    نسخه‌های 4.4p1 تا قبل از 8.5p1 به دلیل وجود یک وصله برای CVE-2006-5051 آسیب‌پذیر نیستند.
•    این آسیب‌پذیری به دلیل حذف یک مولفه در یک تابع در نسخه‌های 8.5p1 تا قبل از 9.8p1 دوباره پدیدار می‌شود.
•    سیستم‌های OpenBSD آسیب‌پذیر نیستند.

توصیه‌های امنیتی
•    به‌روزرسانی موجود برای OpenSSH server (نسخه 9.8p1) را نصب نمایید که این آسیب‌پذیری را برطرف می‌نماید.
•    اگر امکان به‌روزرسانی سرور OpenSSH وجود ندارد، مقدار LoginGraceTime را در فایل پیکربندی sshd به 0 تغییر دهید، اما توجه کنید که این تنظیمات می‌تواند سرور را در برابر حمله منع دسترسی آسیب‌پذیر کند.
 

منابع خبر:

[1] https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticat…
[2] https://www.bleepingcomputer.com/news/security/new-regresshion-openssh-rce-bug-gives-root-on-linux-…
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-6387

بهره‌برداری مهاجمان از فایل‌های Microsoft Management Console از طریق تکنیک حمله جدید مهاجمان

تاریخ ایجاد

Microsoft Management Console یک فریمورک نرم‌افزاری در ویندوز است که به مدیران سیستم اجازه می‌دهد تا ابزارهای مدیریتی مختلفی را در یک کنسول یکپارچه استفاده کنند. فایل‌های MSC  فایل‌های پیکربندی هستند که توسط Microsoft Management Console (MMC) استفاده می‌شوند. این فایل‌ها شامل تنظیمات و اسکریپت‌هایی هستند که جهت مدیریت و نظارت بر سیستم‌های ویندوزی استفاده می‌شوند. مدیران سیستم می‌توانند با استفاده از MSC، ابزارهای مدیریتی مختلفی را در یک کنسول یکپارچه تنظیم و اجرا کنند. این فایل‌ها معمولاً شامل تنظیمات پیچیده‌ای هستند که به مدیریت منابع سیستم، پیکربندی سرویس‌ها و انجام وظایف مدیریتی کمک می‌کنند. مهاجمان با استفاده از یک تکنیک حمله جدید به نام "GrimResource" فایل‌های مدیریتی ذخیره شده (MSC) را به صورت خاصی دستکاری می‌کنند تا از کنسول مدیریت مایکروسافت (MMC) بهره‌برداری کرده و به اجرای کامل کد مخرب برسند. این روش به آن‌ها اجازه می‌دهد تا از دیوارهای دفاعی امنیتی سیستم‌ها عبور کنند. وقتی یک فایل کنسول مخرب وارد می‌شود، یک آسیب‌پذیری در یکی از کتابخانه‌های MMC می‌تواند به اجرای کدهای مخرب توسط مهاجم منجر شود.
تکنیک GrimResource از یک نقص XSS  قدیمی که در کتابخانه apds.dll وجود دارد، استفاده می‌کند. در این مورد، مهاجمان با اضافه کردن یک مرجع به منبع آسیب‌پذیر APDS در بخش StringTable  یک فایل MSC، می‌توانند جاوااسکریپت دلخواه را در بستر mmc.exe اجرا کنند.
این اقدام اولیه به مهاجمان این امکان را می‌دهد تا با استفاده از تکنیک DotNetToJScript به اجرای کد دلخواه روی سیستم بپردازند. DotNetToJScript یک ابزار است که توسط مهاجمان جهت اجرای کد دلخواه به صورت اسکریپت جاوااسکریپت (JScript) در محیط‌هایی مانند Windows Script Host (WSH) استفاده می‌شود. این ابزار قادر است کدهای نوشته شده به زبان C# یا .NET را به قالبی تبدیل کند که به سادگی در مرورگرها یا در محیط‌های دیگری که JScript را پشتیبانی می‌کنند، قابل اجرا باشد.
 

1

شکل 1: یک نمونه از StringTable که در آن یک مرجع به منبع آسیب‌پذیر APDS اضافه شده است


در کد زیر، مهاجمان یک URL مخرب را به جدول رشته‌ها اضافه کرده‌اند که از طریق apds.dll جاوااسکریپت دلخواه را اجرا می‌کند:


<String ID="39"
Refs="1">res://apds.dll/redirect.html?target=javascript:eval("alert('GRIMRESOURCE')")
</String>

در زمان شناسایی این نمونه، هیچگونه شناسایی در VirusTotal برای آن ثبت نشده‌است. VirusTotal یک سرویس آنلاین است که فایل‌ها و URLها را در برابر بسیاری از ویروسها اسکن می‌کند تا تهدیدات احتمالی را شناسایی کند. عدم شناسایی توسط VirusTotal سطح بالای اختفای این حمله را نشان می‌دهد. مهاجمان جهت دور زدن فرآیندها و اقدامات امنیتی اخیر که توسط Microsoft انجام شده، مانند غیرفعال کردن پیش‌فرض ماکروها در فایل‌های Office که از اینترنت دانلود می‌شوند، با استفاده از تکنیک obfuscation transformNode، کدهای خود را مبهم می‌سازند. ماکروها (Macros) مجموعه‌ای از دستورات و عملیات‌ها هستند که به صورت خودکار در نرم‌افزارهایی مانند Microsoft Office اجرا می‌شوند تا وظایف تکراری را سریع‌تر و ساده‌تر انجام دهند. این ماکروها معمولاً با استفاده از زبان‌های برنامه‌نویسی مانند VBA (Visual Basic) نوشته می‌شوند و می‌توانند طیف گسترده‌ای از کارها را انجام دهند. ماکروها به دلیل قدرت و انعطاف‌پذیری بالا، می‌توانند به راحتی مورد سوءاستفاده مهاجمان قرار بگیرند. مهاجمان می‌توانند ماکروهای مخرب ایجاد کنند و آنها را در فایل‌های Office (مانند اسناد Word، صفحات گسترده Excel و ارائه‌های PowerPoint) جاسازی کنند. هنگامی که یک کاربر فایل حاوی ماکروی مخرب را باز می‌کند و ماکرو اجرا می‌شود، کد مخرب می‌تواند به سیستم نفوذ کرده و عملیات مخربی مانند دانلود و اجرای بدافزار، دسترسی به اطلاعات حساس یا حتی تصاحب کنترل کامل سیستم را انجام دهد. مایکروسافت برای افزایش امنیت کاربران خود، تصمیم گرفته است که اجرای ماکروها را به طور پیش‌فرض در فایل‌هایی که از اینترنت دانلود می‌شوند، غیرفعال کند. در روش obfuscation transformNode کدهای برنامه به شکلی تغییر داده می‌شود که برای انسان‌ها و ابزارهای تحلیل سخت‌تر قابل فهم باشد. تکنیک transformNode برای دور زدن هشدارهای امنیتی ActiveX (یک فناوری مایکروسافت برای ایجاد محتوای تعاملی در وب) استفاده می‌شود و باعث می‌شود که اسکریپت‌های مخرب توسط سیستم به عنوان اسکریپت امن شناسایی شوند.
 

2

شکل 2: تکنیک obfuscation transformNode جهت مخفی کردن کدهای مخرب

 

در روند حمله، یک اسکریپت VBScript به طور مخفیانه در سیستم اجرا می‌شود. این اسکریپت مسئول بازیابی کد مخرب (payload) از متغیرهای محیطی است. متغیرهای محیطی، مقادیر یا اطلاعاتی هستند که در سیستم‌عامل ذخیره می‌شوند و برنامه‌های مختلف می‌توانند به آنها دسترسی داشته باشند. پس از تنظیم متغیرها، از تکنیک DotNetToJs استفاده می‌کند تا کدهای .NET را از طریق جاوااسکریپت اجرا کنند. سپس این اسکریپت یک لودر .NET به نام PASTALOADER را اجرا می‌کند.
 

3

شکل 3:اسکریپت VBScript مبهم‌سازی شده

4

شکل 4:تنظیم متغیرهای محیطی

 

5

شکل 5


شکل 5 بخشی از VBScript را نمایش می‌دهد. در این تصویر یک شیء از نوع BinaryFormatter ایجاد شده و از آن، جهت استخراج کدهای مخرب از متغیرهای محیطی استفاده می‌شود. PASTALOADER وظیفه دارد تا کد مخرب اصلی (payload) را از متغیرهای محیطی بازیابی کند. PASTALOADER سپس یک نمونه جدید از dllhost.exe (یک فرآیند سیستم‌عامل Windows که برای اجرا و مدیریت اجزاء COM (Component Object Model) به کار می‌رود) را اجرا کرده و payload مخرب که قبلا بازیابی آن شرح داده‌شد را به آن تزریق می‌کند. این تزریق به طور مخفیانه با استفاده از تکنیکهای DirtyCLR (روشی برای تزریق کد به محیط اجرای مشترک NET.)، unhooking توابع(حذف ارتباطات بین توابع و نقاط ورودی سیستم) و syscalls غیرمستقیم (فراخوانی سیستم‌های عامل به طور مستقیم از طریق کدهای ماشین) انجام می‌شود. با اجرای موفقیت‌آمیز PASTALOADER، مهاجم به طور کامل کنترل سیستم قربانی را به دست می‌آورد. این به معنای دسترسی به تمامی فایل‌ها، اجرای برنامه‌های دلخواه و تغییر تنظیمات سیستم است. بنابر این، تکنیک GrimResource با بهره‌گیری از نقص XSS در apds.dll شروع می‌کند و با استفاده از چندین مرحله مبهم‌سازی و تزریق کد، سیستم را به خطر می‌اندازد و کنترل آن را به دست می‌گیرد.

توصیه‌های امنیتی
جهت کاهش تهدیدات ناشی از این حمله، به‌روز نگه داشتن نرم‌افزارها و سیستم‌عامل‌ها، استفاده از ابزارهای امنیتی پیشرفته، اجرای اصول دفاع در عمق به معنی استفاده از یک رویکرد چند لایه‌ای شامل کنترل‌های شبکه، امنیت نقاط پایانی و کنترل‌های دسترسی، مانیتورینگ و تجزیه و تحلیل لاگ‌ها و استفاده از تکنیک‌های محدودسازی اجرای اسکریپت‌ها توصیه می‌گردد. 


منابع خبر:


[1]https://thehackernews.com/2024/06/new-attack-technique-exploits-microsoft.html?m=1&nbsp;
[2]https://securitybrief.com.au/story/elastic-discovers-new-attack-vector-in-microsoft-management-cons…;
[3]https://securitybrief.com.au/story/elastic-discovers-new-attack-vector-in-microsoft-management-cons…;

کشف آسیب‌پذیری در GitLab

تاریخ ایجاد

GitLab یک پلتفرم مبتنی‌ بر وب است که مجموعه‌ای از ابزارها را برای کنترل نسخه (به ویژه مدیریت مخزن Git)، یکپارچه‌سازی مداوم، تحویل مداوم و همکاری فراهم می‌کند. یک آسیب‌پذیری امنیتی در محصول GitLab با شناسه CVE-2024-2294 و  شدت بحرانی 8.8 شناسایی شده است که به مهاجمان اجازه می‌دهد تا در شرایط خاص، کد مخرب خود را جهت انجام حمله اجرا کنند. به عبارت دیگر این آسیب‌پذیری به مهاجم احرازهویت‌شده در GitLab اجازه می‌دهد تا کدمخرب خود را به عنوان هر کاربر دیگری در سیستم اجرا کند. این می‌تواند منجر به سرقت اطلاعات، نشت داده یا حتی کنترل کامل در GitLab شود.

محصولات تحت تأثیر
این آسیب‌پذیری نسخه‌های  15.8 تا 17.1.1 محصول GitLab CE/EE را (به جز آخرین نسخه) تحت تأثیر قرار می‌دهد.
GitLab CE/EE نسخه‌های 15.8 تا 16.11.4
GitLab CE/EE نسخه 17.0.0 تا 17.0.2
GitLab CE/EE نسخه 17.1.0

توصیه‌های امنیتی
به کاربران توصیه می‌شود تا GitLab خود را به آخرین نسخه (17.1.1یا بالاتر برای (CE/EE به‌روزرسانی کنند.

منابع:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-5655
[2]  https://www.tenable.com/plugins/nessus/201076
[3] https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/