مایکروسافت در به‌روزرسانی ماه اکتبر 2023 سه آسیب‌پذیری روز صفرم با شناسه‌های CVE-2023-36563، CVE-2023-41763  وCVE-2023-44487 در WordPad و Skype for Business که به صورت فعال در حال بهره‌برداری بوده‌اند را وصله کرده است.
شناسه CVE-2023-36563 یک آسیب‌پذیری در WordPad است که اگر مهاجم بتواند به سیستم کاربر دسترسی پیدا کند، قادر است با اجرای یک برنامه از پیش طراحی شده خاص، هش NTLM که رمز عبور رمزنگاری شده کاربران ویندوز است را دریافت کند و کنترل سیستم را به دست بگیرد. همچنین مهاجم می‌تواند سیستم کاربر محلی را از طریق باز کردن یک فایل مخرب، آلوده کند. مایکروسافت علاوه بر اعمال وصله برای این آسیب‌پذیری که در به‌روز رسانی ماه اکتبر ارائه شده است، توصیه می‌کند که مدیر سیستم، NTLM خروجی را بر روی SMB در ویندوز ۱۱ غیرفعال کند تا احتمال موفقیت بهره‌برداری از NTLM-relay را به حداقل برساند.

شناسه CVE-2023-41763 یک آسیب‌پذیری در Skype for Business است که باعث می‌شود مهاجم با ارسال یک درخواست خاص به سرور Skype for Business قربانی، اطلاعات حساس مانند آدرس IP و شماره پورت را به دست آورد. مایکروسافت اذعان دارد که این اطلاعات ممکن است منجر به دسترسی به شبکه‌های داخلی بوده و به عنوان یک آسیب‌پذیری ارتقاء سطح دسترسی شناخته شود.

شناسه CVE-2023-44487 یک آسیب‌پذیری در پروتکل HTTP/2 است که توسط مهاجمان برای انجام حملات DDoS با حجم بالا استفاده شده است. این آسیب‌پذیری که با نام Rapid Reset شناخته می‌شود، باعث مصرف منابع و افزایش بار پردازشی سرورهای HTTP/2 شده و ممکن است سرویس‌دهی آن‌ها را مختل کند. مایکروسافت وصله‌هایی را برای محصولات تحت تأثیر خود ارائه کرده است.

مایکروسافت به کاربران اکیداً توصیه کرده است که باید هرچه زودتر به‌روزرسانی ماه اکتبر ۲۰۲۳ را اعمال کنند و تنظیمات امنیتی سسیستم‌های خود را مورد بازبینی قرار دهند. همچنین از باز کردن فایل‌های مشکوک پرهیز کنند.

منابع

شرکت اپل برای دو محصول iphone و ipad یک به‌روزرسانی فوری جهت رفع یک آسیب‌پذیری روز صفر با شناسه CVE-2023-42824 منتشر کرد. این آسیب‌پذیری‌ در هسته سیستم‌عامل XNU که متعلق به شرکت اپل است شناسایی شده و به مهاجم اجازه می‌دهد به صورت لوکال، سطح دسترسی خود را افزایش دهد.
اپل همچنین در این به‌روزرسانی، یک وصله امنیتی برای آسیب‌پذیری روز صفر دیگری با شناسه CVE-2023-5217 که از نوع heap buffer overflow می‌باشد، ارائه کرده است. این آسیب‌پذیری پیش از این در محصولاتی از جمله Microsoft Edge و Google Chrome نیز شناسایی و برای آنها به‌روزرسانی‌هایی توسط شرکت‌های مایکروسافت و گوگل منتشر شده بود.

محصولات آسیب‌پذیر
شرکت اپل محصولاتی را که نیاز به بروزرسانی فوری دارند، اعلام کرده است:
•    iphone X به بعد
•    iPad Pro 12.9-inch نسل دو به بعد
•    iPad Pro 10.5-inch
•    iPad Pro 11-inch نسل اول به بعد
•     iPad Air نسل سه به بعد
•    iPad mini نسل پنج به بعد

توصیه‌های امنیتی
 با توجه به انتشار بروزرسانی رسمی برای محصولات آسیب‌پذیر توسط شرکت اپل، کارآمدترین روش برای ایجاد امنیت برای کاربران این محصولات، به‌روزرسانی دستگاه‌های خود به آخرین نسخه امنیتی ارائه شده توسط این شرکت می‌باشد.

 منابع خبر:

[1] https://support.apple.com/en-us/HT213961
[2] www.bleepingcomputer.com/news/apple/apple-emergency-update-fixes-new-zero-day-used-to-hack-iphones/…;

محققان Binarly هفت آسیب‌پذیری با شدت بالا و بحرانی در سرورهای SuperMicro کشف کرده‌اند که امکان اجرای کدهای جاوا اسکریپت را برای مهاجمان و کاربران احرازهویت نشده فراهم می¬آورد. وصله‌های امنیتی این آسیب‌پذیری‌ها توسط تیم SuperMicro ارائه شده است و سازمان‌هایی که از این سرورها استفاده می‌کنند باید هرچه زودتر این وصله‌های امنیتی را در سرورهای خود اعمال کنند.

جزئیات آسیب‌پذیری
محققان Binarly آسیب‌پذیری‌های متعددی را در میان‌افزار رابط مدیریت پلت‌فرم هوشمند (IPMI ) برای کنترلرهای مدیریت پایه سوپرمیکرو (BMC ) کشف کرده‌اند که امکان اجرای کدهای جاوااسکریت را از راه-دور برای مهاجمان فراهم می‌آورد. این هفت نقص امنیتی (CVE-2023-40284 تا CVE-2023-40290) به مهاجمان اجازه می‌دهد تا بدون انجام فرآیند احرازهویت به BMC دسترسی root داشته باشند. خوشبختانه سوپرمیکرو وصله‌های امنیتی مناسب برای این آسیب‌پذیری‌ها را ارائه داده است و سازمان‌هایی که از این سرورها استفاده می‌کنند باید هرچه زودتر نسبت به برطرف کردن این نقص‌های امنیتی اقدامات لازم را انجام دهند.
BMCها پردازنده‌های خاصی در مادربردهای سرور سوپرمیکرو هستند که امکان مدیریت از راه  دور را فراهم می‌سازند و مدیران امنیتی قادر هستند با استفاده از آن شاخص‌های سخت‌افزاری مانند دما، تنظیم سرعت فن و به‌روزرسانی UEFI را کنترل کنند.
آسیب‌پذیری‌های کشف شده توسط Binarly بصورت زیر می‌باشند:

• CVE-2023-40284، CVE-2023-40287 و CVE-2023-40288 (CVSS scores: 9.6)
  سه آسیب‌پذیری XSS که به مهاجم و کاربران احرازهویت نشده اجازه می‌دهد تا کدهای جاوااسکریپت خود را بصورت کامل اجرا کنند.
• CVE-2023-40285 و CVE-2023-40286 (CVSS scores: 8.6)
  دو آسیب‌پذیری XSS که به مهاجم و کاربران احرازهویت نشده اجازه می¬دهد تا کدهای جاوااسکریپت را با آلوده¬سازی کوکی‌های مرورگر یا ذخیره‌سازی محلی  اجرا کنند.
• CVE-2023-40289 (CVSS scores: 9.1)
  یک آسیب‌پذیری تزریق فرمان سیستم‌عامل  (تزریق دستورات OS و تزریق Shell) که امکان اجرای کدهای مخرب را برای کاربران عادی با امتیازات مدیریتی فراهم می‌کند.
• CVE-2023-40290 (CVSS scores: 8.3)
  یک آسیب‌پذیری XSS که به مهاجم و کاربران احرازهویت نشده اجازه می‌دهد تا از راه دور کدهای جاوااسکریپت دلخواه خود را با استفاده از مرورگر Internet Explorer 11 در ویندوز  اجرا کنند.

در تحلیل‌های فنی که توسط Binarly صورت گرفته است آسیب‌پذیری CVE-2023-40289 را با شدت بحرانی در نظر گرفته‌اند و علت آن است که این آسیب‌پذیری به مهاجم و کاربران عادی اجازه می‌دهد دسترسی root داشته باشند و بطور کامل سیستم BMC را در معرض خطر قرار خواهد داد. این دسترسی root باعث می‌شود حتی زمانی که مولفه BMC راه‌اندازی مجدد می‌شود حمله ادامه داشته و سایر نقاط پایانی نیز در معرض آلودگی قرار بگیرند.
شش آسیب‌پذیری دیگر نیز بطور خاص می‌توانند ایجاد حساب کاربری با امتیازات مدیریتی و دسترسی برای مولفه BMC IPMI را فراهم آورند.
در نهایت یک مهاجم می‌تواند از راه دور دستورات خود را تزریق کرده و آن‌ها را اجرا کند. در یک سناریو فرضی این عمل می‌تواند با استفاده از یک ایمیل فیشینگ که حاوی لینک و پیوند مخرب است، شروع شده و پی‌لود XSS را اجرا کند.

 محصولات تحت تأثیر
تمامی سروهای SuperMicro تحت تأثیر آسیب‌پذیری‌های مذکور قرار داشته و هرچه زودتر باید نصب به رفع آن‌ها اقدام شود.

منبع خبر:

Supermicro's BMC Firmware Found Vulnerable to Multiple Critical Vulnerabilities (thehackernews.com)

شرکت مایکروسافت جهت رفع دو آسیب‌پذیری روز صفر در مرورگر Edge با شناسه‌های CVE-2023-4863 و CVE-2023-5217، اقدام به انتشار به‌روز رسانی امنیتی فوری کرد که جزئیات این آسیب‌پذیری‌ها به شرح زیر ارائه شده است:

• CVE-2023-4863: این آسیب‌پذیری از نوع سرریز بافر می‌باشد که در کتابخانه  libwebpرخ می‌دهد. این کتابخانه در فرآیند کد کردن و بازگشایی کد تصاویر با فرمت WebP مورد استفاده قرار می‌گیرد. آسیب‌پذیری مذکور به مهاجم این امکان را می‌دهد تا بعد از  سرریز بافر، کد مخرب خود را به سیستم تزریق کند. این کتابخانه در مرورگرهای دیگری نظیر Safari، Mozilla  Firefoxو Opera  نیز مورد استفاده قرار گرفته و از این رو کاربران آن‌ها نیز ممکن است مورد هدف حملات قرار گیرند.
• CVE-2023-5217: این آسیب‌پذیری نیز از نوع سرریز بافر می‌باشد که در کتابخانه  libvpxرخ می دهد. این کتابخانه در فرآیند کد کردن و بازگشایی کد ویدئوها با دو فرمت VP9  وVP8  در نرم افزارهای پخش ویدئو مورد استفاده قرارمی‌گیرد. از این کتابخانه علاوه بر نرم‌افزارهای دسکتاپی پخش فیلم، در سکوهایی مانند Netflix، YouTube و Amazon Prime Video نیز استفاده شده است. این آسیب‌پذیری نیز همچون آسیب‌پذیری فوق الذکر این امکان را برای مهاجم فراهم خواهد آورد تا بعد از اجرای فرآیند سرریز بافر، کد مخرب خود را به سیستم تزریق کرده و از این طریق حملات خود را در سیستم قربانی پیاده‌سازی کند.

محصولات تحت تأثیر
از بین نرم‌افزارهای شرکت مایکروسافت، محصولات تحت تأثیر آسیب‌پذیری با شناسه CVE-2023-4863 می‌باشند:    

• Skype for Desktop
• Webp Image Extensions
• Microsoft Teams for Desktop

 مرورگر Edge نیز تحت تأثیر هر دوی این آسیب‌پذیری‌ها  قرار دارد.

توصیه‌های امنیتی
شرکت مایکروسافت جهت رفع این دو آسیب‌پذیری، به‌روزرسانی‌های امنیتی خود را منتشر و به کاربران توصیه کرده است پس از بررسی لینک زیر، هرچه سریع‌تر نسبت به به‌روزرسانی نرم¬افزارهای خود اقدامات لازم را انجام دهند:

https://msrc.microsoft.com/update-guide/vulnerability

 منابع خبر:

[1]https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-teams-get-fixes-for-zero-days-in-ope…
[2]https://msrc.microsoft.com/blog/2023/10/microsofts-response-to-open-source-vulnerabilities-cve-2023…

شرکت Qualcomm در خصوص سه آسیب‌پذیری روز صفر در درایورهای GPU و Compute DSP خود که مهاجمان در حال بهره‌برداری از آن‌ها هستند، هشدار داد. طبق اعلام گروه‌های امنیتی، تعدادی آسیب‌پذیری با شناسه‌های CVE-2023-33106، CVE-2023-33107، CVE-2022-22071 و CVE-2023-33063 ممکن است مورد هدف و بهره‌برداری قرار داشته باشند. شرکت Qualcomm اعلام کرد که وصله‌های امنیتی را برای برطرف کردن آسیب‌پذیری‌های موجود در درایورهای Adreno GPU و Compute DSP منتشر  و اطلاع رسانی کرده است.

آسیب‌پذیری با شناسه CVE-2022-22071 که قبلا در مه 2022 افشاء شد در سیستم امتیازدهی CVSS v3.1 دارای شدت 8.4 می‌باشد و از نوع use after free است که چیپ‌هایی همچون SD855، SD865 5G و SD888 5G را تحت تاثیر قرار می‌دهد. Qualcomm هنوز جرئیاتی در خصوص سه آسیب‌پذیری CVE-2023-33106، CVE-2022-22071 و CVE-2023-33063 که در حال حاضر در حال بهره‌برداری هستند منتشر نکرده است و اطلاعات بیشتر در بیانیه‌ای در دسامبر 2023 منتشر خواهد.

• آسیب‌پذیری با شناسه CVE-2023-24855 و شدت 9.8 که از نوع تخریب حافظه یا Memory corruption است در مولفه مودم Qualcomm هنگام پردازش پیکربندی‌های مربوط به امنیت قبل از AS Security Exchange رخ می‌دهد.
• آسیب‌پذیری دیگر با شناسه CVE-2023-28540 و شدت 9.1 یک نقص رمزنگاری در مولفه Data Modem است که ناشی از احراز هویت نامناسب در مرحله TLS handshake می‌باشد.
• آسیب‌پذیری CVE-2023-33028 با شدت 9.8 از نوع تخریب حافظه یا Memory corruption در میان‌افزار WLAN بوده و هنگام کپی کردن حافظه موقت pmk به دلیل عدم بررسی سایز آن اتفاق می‌افتد.

در کنار این آسیب‌پذیری‌ها Qualcomm وجود سیزده آسیب‌پذیری با شدت بالا را اعلام کرده است و سه آسیب‌پذیری بحرانی دیگر نیز توسط مهندسان این شرکت کشف شده‌اند. از آنجایی که سه آسیب‌پذیری CVE-2023-24855، CVE-2023-2854 و CVE-2023-33028 هنوز از راه دور قابل بهره‌برداری هستند، از نظر امنیتی بحرانی محسوب می‌شوند ولی شواهدی مبنی بر سوء استفاده از آن‌ها کشف نشده است. کاربران باید به محض انتشار به روزرسانی‌های امنیتی توسط کانال‌های OEM نسبت به نصب وصله‌ها اقدام نمایند.
برای بهره‌برداری از آسیب‌پذیری‌های موجود در درایورها معمولاً به دسترسی لوکال نیاز است، که عمدتاً از طریق آلودگی به بدافزار به دست می‌آید، بنابراین صاحبان دستگاه‌های اندرویدی باید تنها نسبت به نصب نرم‌افزار از منابع معتبر اقدام نمایند.
منابع خبر:

https://www.bleepingcomputer.com/news/security/qualcomm-says-hackers-exploit-3-zero-days-in-its-gpu…
https://docs.qualcomm.com/product/publicresources/securitybulletin/october-2023-bulletin.html

شرکت ARM با انتشار یک توصیه امنیتی از وجود یک آسیب‌پذیری در درایورهای Mali GPU خبر داد که احتمال دارد در حملات محدود مورد بهره‌برداری قرار گرفته باشد. این آسیب‌پذیری توسط گروه تحلیل تهدید گوگل (TAG) به ARM گزارش شده و شناسه CVE-2023-4211 با شدت متوسط (5.5) به آن اختصاص داده شده است. آسیب‌پذیری مذکور از نوع دسترسی نامناسب به حافظه آزاد (freed memory) بوده که امکان دسترسی به داده‌های حساس و تغییر آن‌ها را برای یک کاربر محلی غیرمجاز فراهم می‌کند. دسترسی به قسمتی از حافظه سیستم که دیگر در حال استفاده نیست، یک روش رایج جهت فراخوانی کدهای مخرب در مکانی از حافظه است که مهاجم امکان اجرای آن‌ها را دارد. این کد معمولاً شامل اکسپلویت‌هایی برای سایر آسیب‌پذیری‌ها و یا payload های مخرب جهت جاسوسی از گوشی همراه کاربران است. جزئیات بیشتری از این آسیب‌پذیری منتشر نشده است.

محصولات تحت تأثیر
نسخه‌های درایور زیر تحت تاثیر این آسیب‌پذیری قرار دارند:
•    Midgard GPU kernel driver: تمام نسخه‌ها از r12p0 تا r32p0
•    Bifrost GPU kernel driver: تمام نسخه‌ها از r0p0 تا r42p0
•    Valhall GPU kernel driver: تمام نسخه‌ها از r19p0 تا r42p0
•    Arm 5th Gen GPU architecture kernel driver: تمام نسخه‌ها از r41p0 تا r42p0

سری‌های Midgard، Bifrost و Valhall به ترتیب در سال 2013، 2016 و 2019 معرفی شده‌اند بنابراین مربوط به مدل‌های قدیمی دستگاه‌ها هستند. دستگاه‌های محبوب که از معماری Valhall استفاده می‌کنند (Mali-G77) شامل Samsung Galaxy S20/S20 FE، Xiaomi Redmi K30/K40، Motorola Edge 40 و OnePlus Nord 2 هستند. نسل پنجم معماری ARM در ماه می سال 2023 به بازار عرضه شد که از جمله چیپ‌های Mali-G720 و Mali-G620 در گوشی‌های هوشمند برتر و پرقدرت استفاده می‌شوند. GPU های Mali همچنین در Google Pixel، برخی دستگاه‌های اندرویدی و کروم‌بوک‌ها مورد استفاده قرار می‌گیرند.
فهرست برخی دستگاه‌های آسیب‌پذیر به شرح زیر می‌باشد:
•    Google Pixel 7
•    Samsung S20
•    Samsung S21
•    Motorola Edge 40
•    OnePlus Nord 2
•    Asus ROG Phone 6
•    Redmi Note 11
•    Redmi Note 12
•    Honor 70 Pro
•    RealMe GT
•    Xiaomi 12 Pro
•    Oppo Find X5 Pro
•    Reno 8 Pro
این آسیب‌پذیری در Bifrost، Valhall و نسل پنجم معماری GPU با درایور کرنل نسخه r43p0 (که در 24 مارس سال 2023 منتشر شده است) مورد توجه سازنده قرار گرفته است. سری Midgard دیگر پشتیبانی نمی‌شود و احتمالاً به‌روزرسانی برای این آسیب‌پذیری دریافت نمی‌کند.
در دسترس بودن وصله‌های امنیتی به سرعت سازندگان دستگاه و فروشنده در ارائه یک به‌روزرسانی قابل اطمینان بستگی دارد. از جایی که برخی پیچیدگی‌ها در زنجیره تامین وجود دارد، برخی کاربران وصله‌ها را زودتر دریافت می‌کنند. شرکت ARM به وجود چندین آسیب‌پذیری دیگر از جمله CVE-2023-33200 و CVE-2023-34970 اشاره کرده است که به کاربر غیر مجاز اجازه بهره‌برداری ازrace condition جهت انجام برخی عملیات جهت دسترسی به حافظه آزاد را می‌دهد.
این آسیب‌پذیری‌ها از طریق دسترسی محلی به یک دستگاه قابل بهره‌برداری هستند که این می‌تواند از طریق دانلود یک نرم‌افزار از فروشگاه‌های غیر رسمی نرم‌افزارها صورت پذیرد.

منابع خبر:

[1]https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities
[2] https://arstechnica.com/security/2023/10/vulnerable-arm-gpu-drivers-under-active-exploitation-patch…
[3]https://www.bleepingcomputer.com/news/security/arm-warns-of-mali-gpu-flaws-likely-exploited-in-targ…
[4]https://thehackernews.com/2023/10/arm-issues-patch-for-mali-gpu-kernel.html

مجموعه‌ای از آسیب‌پذیری‌های بحرانی تحت عنوان ShellTorch در ابزار هوش مصنوعی متن باز TorchServe کشف شده‌اند که ده‌ها هزار سرور متصل به اینترنت را تحت تاثیر قرار می‌دهند. برخی از این سرورها متعلق به شرکت‌های بزرگ می‌باشند. TorchServe که توسط Meta و Amazon توسعه داده می‌شود یک ابزار محبوب برای مقیاس‌پذیری و ارائه مدل‌های چارچوب یادگیری ماشین PyTorch است.
این کتابخانه معمولاً توسط افرادی که در حوزه هوش مصنوعی فعالیت می‌کنند استفاده می‌شود و در کنار کاربران آکادمیک، شرکت‌های بزرگی مانند Amazon، OpenAI، Tesla، Azure، Google و Intel از آن استفاده می‌کنند. نقص‌های TorchServe توسط تیم تحقیقات امنیتی Oligo کشف شده‌اند که می‌توانند منجر به دسترسی غیر مجاز به سرور و اجرای کد از راه دور بر روی نمونه‌های آسیب‌پذیر شوند.
اولین آسیب‌پذیری از نوع پیکربندی نامناسب رابط مدیریتی API است که بدون تصدیق هویت قابل بهره‌برداری است و باعث می‌شود پنل تحت وب به جای localhost به طور پیش‌فرض به 0.0.0.0 تنظیم شود که آن را در دسترس درخواست‌های از راه دور قرار می‌دهد. از آنجایی که رابط کاربری نیازی به تصدیق هویت ندارد، این اجازه دسترسی نامحدود به هر کاربری را می‌دهد و می‌تواند برای بارگزاری مدل‌های آلوده از آدرس‌های خارجی مورد استفاده قرار بگیرد.
نقص امنتی دوم که شناسه CVE-2023-43654 را به خود اختصاص داده و دارای شدت بحرانی 9.8 می‌باشد و یک آسیب‌پذیری جعل درخواست سمت سرور (SSRF) است که منجر به اجرای کد از راه دور می‌شود. در حالیکه API مربوط به TorchServe دارای یک لیست از دامنه‌های مجاز به دریافت فایل‌های پیکربندی مدل‌ها از یک URL راه دور است، مشخص شده که به طور پیش‌فرض تمام دامنه‌ها مورد پذیرش هستند که این باعث به وجود آمدن نقض SSRF می‌شود و به مهاجمان اجازه خواهد داد مدل‌های مخرب  خود را بارگزاری کرده و منجر به اجرای کد از راه دور بر روی سرور شوند.
سومین آسیب‌پذیری با شناسه CVE-2022-1471 دارای شدت بحرانی 9.8 می‌باشد و از نوع Java deserialization است که منجر به اجرای کد از راه دور می‌شود. به دلیل وجود deserialization غیر امن در کتابخانه SnakeYAML ، مهاجم می‌تواند یک مدل با فایل مخرب YAML را بارگزاری کند که منجر به اجرای کد از راه دور شود.
اگر یک مهاجم از این سه آسیب‌پذیری بهره‌برداری کند، به راحتی می‌تواند یک سیستم که نسخه آسیب‌پذیر TorchServe روی آن در حال اجرا است را تحت کنترل خود درآورد.
Oligo اعلام کرده که طی اسکن انجام شده جهت بررسی این آسیب‌پذیرها، ده‌ها هزار آدرس IP را شناسایی کرده است که در حال حاضر در برابر ShellTorch آسیب‌پذیر هستند که برخی از این سرورها متعلق به شرکت‌های بزرگ و بین المللی هستند.

محصولات تحت تأثیر
سه آسیب‌پذیری فوق الذکر که تحت عنوان ShellTorch شناخته می‌شوند نسخه‌های 0.3.0 تا 0.8.1 TorchServe را تحت تاثیر قرار می‌دهند.

توصیه‌های امنیتی
جهت برطرف کردن این آسیب‌پذیری‌ها، کاربران باید به نسخه 0.8.2 از TorchServe به‌روزرسانی نمایند. این به‌روزرسانی آسیب‌پذیری CVE-2023-43654 را برطرف نمی‌کند ولی یک هشدار در خصوص SSRF به کاربر نمایش می‌دهد. در مرحله بعدی اطمینان حاصل کنید که کنسول مدیریتی دارای پیکربندی درست باشد. در فایل config.properties مقدار management_address باید به http://127.0.0.1:8081 تنظیم شود. این باعث می‌شود که TorchServe فقط از localhost در دسترس باشد. و در آخرین مرحله اطمینان حاصل کنید که با به‌روزرسانی دامنه‌های قابل اطمینان در فایل config.properties و قسمت allowed_urls سرور مدل‌ها را از دامنه‌های مجاز دریافت کند:

allowed_urls=https://s3.amazonaws.com/.*,https://torchserve.pytorch.org/.*

 Oligo یک ابزار برای بررسی آسیب‌پذیری ShellTorch در گیت‌هاب منتشر کرده که از طریق لینک زیر قابل دسترس می‌باشد:

https://github.com/OligoCyberSecurity/ShellTorchChecker

منابع خبر:

https://www.bleepingcomputer.com/news/security/shelltorch-flaws-expose-ai-servers-to-code-execution…
https://aws.amazon.com/security/security-bulletins/AWS-2023-009/
https://pypistats.org/packages/torchserve
https://www.oligo.security/blog/shelltorch-torchserve-ssrf-vulnerability-cve-2023-43654

یک آسیب‌پذیری جدید در لینوکس به نام Looney Tunables توسط تیم تحقیقات تهدید Qualys کشف شده که به مهاجمان با دسترسی محلی اجازه می‌دهد با بهره‌برداری از ضعف سرریزبافر در dynamic loader کتابخانه GNU C به نام ld.so دسترسی خود را به دسترسی روت ارتقاء دهند. این آسیب‌پذیری هنگام پردازش متغیر محیطی GLIBC_TUNABLES رخ می‌دهد. تیم qualys موفق به تست و بهره‌برداری از این آسیب‌پذیری شده است.

محصولات تحت تأثیر
بهره‌برداری از آسیب‌پذیری مذکور در نصب‌های پیشفرض توزیع‌های زیر امکان‌پذیر خواهد بود:
•    Fedora 37
•    Fedora 38
•    Ubuntu 22.04
•    Ubuntu 23.04
•    Debian 12
•    Debian 13
احتمال دارد که توزیع‌های دیگر نیز آسیب‌پذیر باشند اما Alpine Linux به دلیل استفاده از musl libc به جای glibc آسیب‌پذیر نیست. این آسیب‌پذیری در آوریل سال 2021 همراه با ارائه glibc 2.34 به وجود آمده و دارای شناسه CVE-2023-4911 می‌باشد. کد بهره‌برداری این آسیب‌پذیری توسط Qualys به طور عمومی منتشر نشده اما انتظار می‌رود سایر تیم‌های تحقیقاتی بتوانند به زودی کد بهره‌برداری را تولید کنند. به دلیل استفاده زیاد از glibc در توزیع‌های لینوکسی، این آسیب‌پذیری می‌تواند سیستم‌های زیادی را تحت تاثیر قرار دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به به‌روزرسانی توزیع لینوکس خود اقدام نمایند.

منابع خبر:

[1]https://blog.qualys.com/vulnerabilities-threat-research/2023/10/03/cve-2023-4911-looney-tunables-lo…
[2] https://www.qualys.com/2023/10/03/cve-2023-4911/looney-tunables-local-privilege-escalation-glibc-ld…
[3] https://www.bleepingcomputer.com/news/security/new-looney-tunables-linux-bug-gives-root-on-major-di…
[4] https://nvd.nist.gov/vuln/detail/CVE-2023-4911

Progress Software  در ماژول انتقال موقت سرور WS_FTP و رابط مدیر سرورWS_FTP، الزامات رفع یک آسیب‌پذیری امنیتی مهم را به همراه آسیب‌پذیری‌های دیگر منتشر کرده است.

جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسه CVE-2023-40044، دارای شدت 10 می‌باشد و به مهاجمان احراز هویت نشده اجازه خواهد داد پس از بهره‌برداری موفق، کد موردنظر را از راه دور را اجرا کنند.
آسیب‌پذیری دیگری با شناسه  CVE-2023-42657 و شدت 9.9، یک آسیب‌پذیری پیمایش دایرکتوری است که می‌تواند برای انجام عملیات فایل، بهره‌برداری شود.
آسیب‌پذیری با شناسه  CVE-2023-40045 و شدت 8.3، یک آسیب‌پذیری XSS بازتابی، در ماژول انتقال موقت سرور WS_FTP است که می‌تواند برای اجرای کد جاوا اسکریپت در مرورگر قربانی مورد بهره‌برداری قرار گیرد.
آسیب‌پذیری با شناسه CVE-2023- 40047  و شدت 8.3،  نیز یک آسیب‌پذیریXSS ، در ماژول مدیریت سرور WS_FTP است که می‌تواند توسط یک مهاجم با دسترسی مدیریت، جهت وارد کردن گواهی SSL با ویژگی‌های مخرب حاوی بارهای XSS مورد بهره‌برداری قرار گیرد و سپس می‌تواند در مرورگر قربانی فعال شود.
آسیب‌پذیری با شناسهCVE-2023-40046  و شدت 8.2 ، یک آسیب‌پذیری تزریق کد SQL در رابط مدیریت سرور WS_FTPمی‌باشد که می‌تواند جهت استنتاج اطلاعات ذخیره شده در پایگاه داده و اجرای دستورات کد SQL  مورد بهره‌برداری قرار گیرد تا مهاجم محتوای آن را تغییر دهد یا حذف کند.

محصولات تحت تأثیر
کلیه نسخه‌های نرم‌افزار Progress، تحت تأثیر این آسیب‌پذیری قراردارند. در نسخه‌های سرور WS_FTP قبل از 8.7.4 و 8.8.2، یک مهاجم تأیید شده می‌تواند از یک آسیب‌پذیری deserialization .NET در ماژول AdHoc Transfer، جهت اجرای دستورات از راه دور در سیستم عامل WS_FTP Server سوءاستفاده کند.

توصیه‌های امنیتی
نرم‌افزار Progress به یک هدف جذاب برای گروه‌های باج‌افزاری مانند Cl0p تبدیل شده است؛ لذا ضروری است که کاربران سریعاً آخرین وصله‌ها را جهت جلوگیری از تهدیدات احتمالی اعمال کنند.
به کاربران توصیه شده است نرم¬افزار را به آخرین نسخه یعنی 8.8.2 ارتقا دهند.
این شرکت همچنین، اطلاعاتی درباره نحوه حذف یا غیرفعال کردن ماژول انتقال موقت سرور  WS_FTP آسیب¬پذیر، در صورت عدم استفاده از آن به اشتراک گذاشته است.

منابع خبر:

[1] https://thehackernews.com/2023/09/progress-software-releases-urgent.html
[2] https://www.bleepingcomputer.com/news/security/progress-warns-of-maximum-severity-ws-ftp-server-vul…
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-40044

به دلیل وجود نقص امنیتی در مکانیزم کنترلcross-tenant  سرویس Cloudflare مهاجم قادر خواهد بود تا به راحتی این امکان را دور زده و از این طریق حملات خود را انجام دهد. مکانیزم امنیتی مذکور جهت جلوگیری از رخداد حملات DDOS طراحی شده است. این آسیب‌پذیری به دلیل وجود نقص در طراحی مکانیزم اعتبارسنجی ارسال درخواست های HTTPS به سمت سرور می‎باشد و در آن دو ویژگی زیر فعال است:

•    Authenticated Origin Pulls
•    Allowlist Cloudflare IP Addresses

با فعال بودن این دو ویژگی در سرور، دریافت‌کننده درخواست HTTPS، مطمئن خواهد شد که این درخواست از سمت سرورهای Cloudflare ارسال شده است نه از طرف یک مهاجم و اعتبارنامه SSL/TLS  جهت صحت سنجی آن بررسی نخواهد شد. در واقع این دو مکانیسم با تخصیص وضعیت «Trusted»  به درخواست‌های HTTPS که از سمت سرور Cloudflare ارسال می‌شوند، از سرور مبدأ در برابر ترافیک مخرب محافظت می‌کنند. مهاجم می‌تواند در فایروال Cloudflare یک دامنه سفارشی (Custom   Domain) راه‌اندازی کرده و رکورد DNS A را به آدرس IP قربانیان point کند، سپس مهاجم تمام ویژگی‌های حفاظتی دامنه سفارشی را غیرفعال و حمله خود را آغاز خواهد کرد. مهاجم در این مرحله قادر خواهد بود یک گواهی صحت‌سنجی ساخته و از آن، جهت اعتباربخشی به درخواست‌های ارسالی خود به سمت سرور هدف سوءاستفاده کند.

محصولات تحت تأثیر
تمام سرورهایی که از سرویس Cloudflare استفاده می‌کنند و دو ویژگی Authenticated Origin Pulls  و Allowlist Cloudflare IP Addresses  در آن‌ها فعال است.

توصیه‌های امنیتی
کمپانی Cloudflare هنوز به طور رسمی برای برطرف این نقص امنیتی، به‌روزرسانی جدیدی منتشرنکرده است اما تحلیلگران امنیتی تا زمان انتشار رسمی به‌روزرسانی، دو راهکار جهت کاهش تهدیدات این نقص امنیتی ارائه داده‌اند: تخصیص اعتبارنامه‌های شخصی‌سازی شده با استفاده از Authenticated Origin Pulls  و حذف اعتبارنامه‌های Cloudflare که منجر به درخواست‌های غیرمجاز خواهند شد. شایان ذکر است که مکانیزم  Allowlist Cloudflare IP Addresses  به عنوان گزینه‌ای جهت حفاظت از سرور در نظر گرفته نشود و تنها به عنوان یکی از روش‌های محافظت از سرور در لایه‌های پایین امنیت مورد استفاده قرار گیرد.

منابع خبر:

[1] https://latesthackingnews.com/2023/10/02/cloudflare-ddos-protection-flaws-allowed-security-bypass-v…
[2] https://www.bleepingcomputer.com/news/security/cloudflare-ddos-protections-ironically-bypassed-usin…