Fortinet، یک شرکت بزرگ در زمینه امنیت سایبری است که محصولات و خدمات مختلفی از جمله فایروال‌ها، روترها، دستگاه‌های VPN، مدیریت شبکه، SIEM (یک ابزار امنیتی که برای جمع‌آوری، تجزیه‌ و تحلیل و نظارت بر اطلاعات و رویدادهای امنیتی استفاده می‌شود) و EDR/XD (راهکارهای امنیتی که برای شناسایی، ردیابی و واکنش به تهدیدات در نقاط انتهایی (Endpoints) مانند لپ‌تاپ‌ها، دسکتاپ‌ها و دستگاه‌های موبایل استفاده می‌شوند) را به مشتریان خود ارائه می‌دهد.
یک مهاجم سایبری ادعا کرده که 440 گیگابایت داده را از سرور Azure Sharepoint شرکت Fortinet (سرویس ابری جامع مایکروسافت که مجموعه‌ای از خدمات محاسباتی، ذخیره‌سازی، شبکه و تحلیل داده‌ها را ارائه می‌دهد) بهره‌برداری کرده است. این مهاجم همچنین لینک دسترسی به یک فضای ذخیره‌سازی ابری را به اشتراک گذاشته است که داده‌ در آن ذخیره شده، هرچند صحت این ادعا هنوز به طور کامل تأیید نشده است.
Fortinet در پاسخ به این حادثه اعلام کرد که مهاجم به تعداد محدودی از فایل‌ها دسترسی پیدا کرده است. این فایل‌ها شامل اطلاعات مربوط به تعداد محدودی از مشتریان بوده و از یک "فضای ذخیره‌سازی ابری مشترک شخص ثالث" به بهره‌برداری رسیده‌اند. این نقص امنیتی بیشتر به دلیل پیکربندی اشتباه یا مدیریت نادرست دسترسی به فضای ابری بوده، و عواملی مانند استفاده از اعتبارنامه‌های ضعیف یا اشتراک‌گذاری نادرست فایل‌ها در فضای ابری، احتمال دسترسی مهاجم غیرمجاز به این اطلاعات را داده‌اند.
طبق گفته Fortinet، کمتر از 0.3 درصد از مشتریان تحت تأثیر قرار گرفته‌اند و هیچ فعالیت مخربی متوجه آنها نشده است.

محصولات آسیب‌پذیر
طبق اطلاعات منتشرشده، این حمله تنها به فضای ذخیره‌سازی ابری مشترک مرتبط بوده و به سایر محصولات Fortinet مانند فایروال‌ها، روترها، یا سرویس‌های EDR/XDR دسترسی نداشته‌اند.

توصیه‌های امنیتی
برای جلوگیری از بروز این نوع از حملات و بهبود امنیت به کاربران توصیه می‌شود، که دسترسی‌های مرتبط با داده‌های حساس مورد بازبینی و محدودسازی قرار گیرد و از احراز هویت چند عاملی (MFA) برای دسترسی به فضاهای ذخیره‌سازی ابری استفاده شود.


منبع خبر:

    https://www.bleepingcomputer.com/news/security/fortinet-confirms-data-breach-after-hacker-claims-to…

 آسیب‌پذیری با شناسه CVE-2024-6678 و شدت 9.9 (بحرانی) از نوع کنترل نادرست دسترسی (Improper Access Control) در GitLab کشف شده است، این نقص امنیتی زمانی رخ می‌دهد که یک سیستم به‌ درستی دسترسی‌ها را محدود نکرده‌‌ باشد و این امکان را برای مهاجم و یا فرآیندهای غیرمجاز فراهم کند، که به منابع داده دسترسی پیدا کنند، این آسیب‌پذیری در GitLab CI/CD وجود دارد. که در GitLab به‌ منظور اتوماسیون فرآیندهای توسعه نرم‌افزار مانند کامپایل، تست، و استقرار استفاده می‌شوند. و مهاجم با هر سطح دسترسی می‌تواند به‌ صورت غیرمجاز pipeLine را اجرا کند.
این حمله می‌تواند به اجرای کد مخرب در سرورها، دسترسی به داده‌های حساس یا ایجاد تغییرات غیرمجاز در فرآیندهای توسعه منجر شود، که تهدیدی جدی برای امنیت سیستم محسوب می‌شود.

محصولات آسیب‌پذیر
GitLab Community Edition (CE) و GitLab Enterprise Edition (EE) ازنسخه 8.14 تا قبل از17.1.7 و نسخه‌های 17.2 تا قبل از 17.2.5 و نسخه‌های 17.3 تا قبل از 17.3.2 تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود که  در اسرع وقت محصولات تحت تاثیر را به نسخه‌های 17.3.2، 17.2.5، و 17.1.7 ارتقاء دهند.

منابع خبر:

[1] https://thehackernews.com/2024/09/urgent-gitlab-patches-critical-flaw.html?m=1
[2] https://www.cve.org/CVERecord?id=CVE-2024-6678

دو آسیب‌پذیری در نرم‌افزار Adobe Acrobat Reader با شناسه‌های CVE-2024-41869 و CVE-2024-45112 کشف شده‌ است که امکان اجرای کدهای مخرب را فراهم می‌کنند و خطرات جدی را برای کاربران به همراه دارند.
آسیب‌پذیری با شناسه CVE-2024-41869 یک نقص امنیتی از نوع Use After Free با شدت 7.8 (بالا) است، و زمانی رخ می‌دهد که برنامه تلاش می‌کند به داده‌های آزاد شده در حافظه دسترسی پیدا کند و منجر به خرابی کامل برنامه یا اجرای کد مخرب می‌‌شود. در این آسیب‌پذیری مهاجم می‌تواند با استفاده از یک فایل PDF مخرب، برنامه را وادار به دسترسی حافظه آزاد شده کند و از این طریق کدهای مخرب را اجرا کند.
آسیب‌پذیری CVE-2024-45112 نیز یک نقص امنیتی از نوع Type Confusion با شدت 8.6 (بحرانی ) می‌باشد، این نقص زمانی رخ می‌دهد که نرم‌افزار نوع داده‌ها را به اشتباه پردازش می‌کند و مهاجم از طریق این آسیب‌پذیری می‌تواند کنترل کاملی بر سیستم قربانی به‌دست آورد و دستورات مخرب را اجرا کند.

محصولات آسیب‌پذیر
تمام نسخه‌‌های Adobe Acrobat و Adobe Acrobat Reader قبل از آخرین به روزرسانی ماه سپتامبر تحت تاثیر این آسیب‌پذیری ها قرار گرفته‌اند.
توصیه‌های امنیتی
به کاربران توصیه می‌شود که در اسرع وقت Adobe Acrobat Reader و Adobe Acrobat نرم‌افزار خود را به ‌روزرسانی کنند و از باز کردن فایل‌های PDF ناشناخته خودداری نمایند.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/adobe-fixes-acrobat-reader-zero-day-with-public-poc-…
[2] https://helpx.adobe.com/security/products/acrobat/apsb24-70.html

آسیب‌پذیری با شناسه CVE-2024-8584 و شدت ۹.۸ (بحرانی) که یک ضعف در سیستم مدیریت منابع انسانی Orca HCM از شرکت Learning Digital است، به دلیل عدم کنترل صحیح دسترسی به یک عملکرد خاص رخ می‌دهد که به مهاجم غیرمجاز اجازه می‌دهد با استفاده از این عملکرد، حساب کاربری با سطح دسترسی مدیر ایجاد کند و از آن برای ورود به سیستم استفاده کند. این امر می‌تواند این امکان را برای مهاجم فراهم کند، تا به داده‌های حساس سیستم دسترسی پیدا کرده و آنها را تغییر دهد و یا حذف کند، و منجر به از دست رفتن محرمانگی، یکپارچگی و دسترسی‌پذیری سیستم شود.

محصولات تحت‌تأثیر
تمامی نسخه‌های Orca HCM تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود که دسترسی به سیستم Orca HCM را محدود کنند و تنها به IPهای قابل اعتماد یا از طریق VPN اجازه اتصال دهند.
سیستم Orca HCM را از منابع شبکه‌ای حیاتی دیگر جدا کنید تا از گسترش احتمالی حملات جلوگیری شود.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-8584

یک آسیب‌پذیری با شناسه CVE-2024-43491 و شدت ۹.۸ (بحرانی) در مایکروسافت ویندوز 10 کشف شده است که آسیب‌پذیری‌های وصله شده قبلی را بی اثر کرده و باعث شده است که ویندوز 10 در برابر آسیب‌پذیری‌های رفع شده همچنان آسیب‌پذیر باشد.

محصولات تحت‌تأثیر
نسخه 1507 ویندوز 10 که به‌روزرسانی امنیتی مارس 2024 (KB5035858) یا به‌روزرسانی‌های بعدی تا آگوست 2024  در آن اعمال شده است، تحت تاثیر آسیب‌پذیری ذکر شده قرار دارد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود ابتدا Servicing Stack Update (SSU) سپتامبر 2024 (KB5043936) و سپس به‌‌روزرسانی امنیتی سپتامبر 2024 (KB5043083) را نصب کنند.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-43491

دو آسیب‌پذیری در افزونه LearnPress  با شناسه‌های CVE-2024-8522 و CVE-2024-8529 و شدت 0.10 (بحرانی) ، در نقاط ورودی /wp-json/learnPress/v1/courses  و  /wp-json/lp/v1/courses/archive-course کشف شده است، که به مهاجمان احراز هویت نشده این اجازه را می‌دهد تا Queryهای اضافی در SQL را از بین ببرد و اطلاعات حساس را از پایگاه داده استخراج کند.

محصولات تحت تاثیر
نسخه‌ی ۴.۲.۷ وتمام نسخه‌‌های قبل از آن تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود که نسخه‌های آسیب‌پذیر را به نسخه بالاتر 4.2.7.1 ارتقاء دهند.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-8522
[2] https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/learnpress/learnpress-word…

یک آسیب‌پذیری XSS با شناسه CVE-2024-4585 و شدت 9.0 (بحرانی) در تمام نسخه‌های پلتفرم MindsDB کشف شده است که هر زمان کاربر یک موتور ML، پایگاه داده، پروژه یا مجموعه داده حاوی کد جاوا اسکریپت دلخواه را در رابط کاربری وب فراخوانی کند، امکان اجرای کد جاوا اسکریپت دلخواه را فراهم می‌کند.
 

محصولات تحت تاثیر

تمام نسخه‌های MindsDB v23.11.4.2 تا v24.7.4.1  تحت تاثیر این آسیب‌‌پذیری قرار گرفته‌اند.
 

توصیه‌های امنیتی
باید تمامی ورودی‌های کاربر پیش از ذخیره شدن یا نمایش در صفحه، به درستی پاکسازی و فیلتر شوند.
استفاده از CSP از اجرای کدهای جاوااسکریپت غیرمجاز جلوگیری می‌کند.
هنگام نمایش داده‌های کاربر از مکانیزم‌های امن‌سازی کدهای HTML و جاوااسکریپت استفاده شود.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-45856
[2] https://hiddenlayer.com/sai-security-advisory/2024-09-mindsdb

به تازگی چند آسیب‌­پذیری بحرانی در برخی از روترهای TOTOLINK کشف شده­ است،که مهاجم می‌تواند از راه دور به این روترها دسترسی داشته باشد و اطلاعات کاربران را افشا کند و هر زمان که بخواهد آن را تغییر دهد. جزئیات دیگر این آسیب­‌پذیری­‌ها در جدول زیر آورده شده­‌اند.

محصولات تحت‌تأثیر

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-8573

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-8575

[3] https://nvd.nist.gov/vuln/detail/CVE-2024-8576

[4] https://nvd.nist.gov/vuln/detail/CVE-2024-8577

[5] https://nvd.nist.gov/vuln/detail/CVE-2024-8578

[6] https://nvd.nist.gov/vuln/detail/CVE-2024-8579

[7] https://nvd.nist.gov/vuln/detail/CVE-2024-8580

محققان چندین آسیب‌پذیری با شدت‌های مختلف را در مرورگرهای Firefox و Thunderbird کشف کرده‌اند که ممکن است منجر به اجرای کد مخرب، افشای اطلاعات و حملات مختلف شوند. این آسیب‌پذیری‌ها که شامل نقص‌های مرتبط با مدیریت حافظه، پردازش رویدادهای داخلی مرورگر، و مشکلاتی در مکانیزم‌های امنیتی مرورگر می‌شوند، تهدیداتی جدی برای کاربران این برنامه‌ها به همراه دارند.
جزئیات هریک آسیب‌پذیری‌ها به شرح ذیل است:

آسیب‌پذیری با شناسه CVE-2024-8381 با شدت بحرانی و امتیاز CVSS 9.8، زمانی رخ می‌دهد که مرورگر برای یافتن یک ویژگی خاص در یک شیء (object) دچار نوعی خطا به نام Type Confusion می‌شود. این نقص می‌تواند به مهاجم این امکان را بدهد که کنترل سیستم را در دست گرفته و کد مخربی را اجرا کند.

آسیب‌پذیری با شناسه CVE-2024-8382 با شدت بالا و امتیاز CVSS 8.8 از افشای رابط‌های داخلی رویداد مرورگر به محتوای وب ناشی می‌شود. در این نقص، برخی از رویدادهای داخلی که نباید توسط محتوای وب قابل مشاهده باشند، در معرض دسترسی قرار می‌گیرند. به عنوان مثال، اگر کاربر ابزارهای توسعه‌دهنده را باز کند، این رویداد توسط یک اسکریپت مخرب قابل تشخیص می‌شود. اگرچه این به طور مستقیم به مهاجم اجازه اجرای کد مخرب نمی‌دهد، اما اطلاعاتی را درباره فعالیت‌های کاربر فاش می‌کند. مهاجم می‌تواند از این اطلاعات برای انجام حملات بعدی مانند فیشینگ یا دستکاری محتوای صفحه استفاده کند.

آسیب‌پذیری با شناسه CVE-2024-8383 و شدت بالا و امتیاز CVSS 7.5 زمانی رخ میدهد که علی ‌رغم اینکه مرورگر باید قبل از باز‌کردن یک برنامه جدید برای مدیریت برخی لینک‌های خاص (مثل لینک‌های Usenet) از کاربر تأیید بگیرد، هیچ تاییدیه‌ای از کاربر درخواست نمی‌شود. بنابراین، اگر مهاجم یک لینک خاص را به کاربر بفرستد و کاربر روی آن کلیک کند، برنامه‌ای که روی سیستم نصب شده ‌است بدون اطلاع کاربر اجرا می‌شود که همین مسئله می‌تواند به نصب بدافزارها یا دسترسی غیرمجاز به داده‌های سیستم منجر شود.
آسیب‌پذیری با شناسه CVE-2024-8384 و شدت بحرانی و امتیاز CVSS 9.8 زمانی رخ می‌دهد که جمع‌آوری زباله (Garbage Collector) در جاوا اسکریپت، که مسئول آزاد کردن حافظه‌های بلااستفاده است، به درستی عمل نمی‌کند. در شرایط کمبود منابع حافظه (Out-Of-Memory یا OOM)، اشیائی که به حافظه‌های مختلف سیستم مرتبط هستند، به درستی دسته‌بندی نمی‌شوند و تخصیص و مدیریت حافظه دچار اشتباه می‌شود. خطر این نقص زمانی بیشتر می‌شود که اشیای مربوط به یک محدوده امنیتی (compartment) به اشتباه در محدوده‌ای دیگر قرار بگیرند. اگر مهاجم بتواند از این نقص بهره‌برداری کند، می‌تواند با دسترسی به داده‌های حساس، حافظه سیستم را تغییر‌ داده و در نهایت کد مخرب را اجرا کند.

آسیب‌پذیری با شناسه CVE-2024-8385 با شدت CVSS 9.8 مربوط به تفاوت در مدیریت StructFields و ArrayTypes در WebAssembly است. WebAssembly یک فناوری است که به مرورگرها امکان اجرای کدهای باینری با کارایی بالا را می‌دهد. در این آسیب‌پذیری، یک نقص در نحوه پردازش داده‌ها در WebAssembly وجود دارد. مهاجم می‌تواند از این نقص استفاده کند تا کدهایی را با دسترسی‌های بالاتر از آنچه که باید باشند، اجرا کند. این کدهای مخرب می‌توانند باعث اجرای عملیات‌های غیرمجاز و در نهایت به خطر انداختن سیستم شوند.

آسیب‌پذیری با شناسه CVE-2024-8386 و شدت CVSS 6.1 به یک سایت مخرب با مجوز باز کردن پنجره‌های popUp اجازه می‌دهد با باز کردن پنجره‌های popUp یا نمایش عناصر خاص (مانند فهرست‌های کشویی) در بالای محتوای یک سایت دیگر، کاربر را فریب دهد که روی چیزی کلیک کند که به نظر او بخشی از سایت مورد اعتمادش است. به عنوان مثال، کاربر ممکن است فکر کند که روی دکمه‌ای برای ثبت اطلاعات شخصی خود کلیک می‌کند، در حالی که در واقع اطلاعات او به سایت مخرب ارسال می‌شوند.

آسیب‌‌‌پذیری با شناسه CVE-2024-8388 و شدت CVSS 5.3 در نسخه‌های اندروید Firefox رخ داده‌ است و به نحوه‌ی نمایش اعلان‌های ورود به حالت تمام‌صفحه (Fullscreen) مربوط می‌شود. به‌طور معمول، هنگامی که یک وب‌سایت تلاش می‌کند مرورگر را به حالت تمام‌صفحه ببرد، مرورگر موظف است اعلان واضحی به کاربر نمایش دهد تا او از این تغییر وضعیت آگاه شود. این اعلان در راستای حفظ امنیت کاربر طراحی شده و مانع از بروز حملات فیشینگ یا نمایش صفحات جعلی می‌شود. اما نقص موجود در این فرآیند، به این صورت است که اگر همزمان با این اعلان، پنجره‌ها یا پنل‌های دیگری نیز نمایش داده شوند، اعلان تمام‌صفحه ممکن است از دید کاربر پنهان بماند یا به‌درستی نمایش داده نشود. این اشتباه به مهاجمان فرصت می‌دهد تا با استفاده از حالت تمام‌صفحه، رابط کاربری مرورگر را به نحوی تغییر دهند که کاربر تصور کند با یک وب‌‌سایت معتبر تعامل می‌کند، در حالی که در واقع با یک وب‌سایت مخرب در حال تعامل است. به این ترتیب، مهاجم می‌تواند صفحه‌ای جعلی را به نمایش گذاشته و حملاتی از نوع جعل رابط کاربری (UI Spoofing) را اجرا کند.

آسیب‌پذیری‌ها با شناسه‌های CVE-2024-8387 و CVE-2024-8389 که هردو با شدت بحرانی CVSS 9.8 شناسایی شده‌اند، به برخی نواقص امنیتی مرتبط با مدیریت حافظه در نسخه‌های قدیمی‌تر مرورگر FireFox‌ و ThunderBird برمی‌گردند که ممکن است باعث خرابی حافظه شوند. این نقص‌ها می‌توانند توسط مهاجمین برای اجرای کدهای مخرب روی سیستم استفاده شوند.

محصولات آسیب‌‌پذیر
شناسه‌های:CVE-2024-8381، CVE-2024-8382، CVE-2024-8381 و CVE-2024-8387 نسخه‌های FireFox  قبل از130، Thunderbird قبل از 128.2 و FireFox ESR  قبل از 115.15  را تحت تاثیر قرار می‌دهند.
شناسه:CVE-2024-8383 نسخه‌های FireFox قبل از130 و FireFox ESR قبل از115.1  را تحت تاثیر قرار می‌دهد.
شناسه:CVE-2024-8385 و CVE-2024-8386 نسخه‌های FireFox قبل از130 و Thunderbird قبل از128.2  را تحت تاثیر قرار می‌دهند.
شناسه: CVE-2024-8388 نسخه‌های FireFox قبل از 130را فقط روی سیستم‌عامل اندروید تحت تاثیر قرار می‌دهد.
شناسه:CVE-2024-8389 نسخه‌های FireFox قبل از130 را تحت تاثیر قرار می‌دهد.
 

توصیه‌های امنیتی
برای جلوگیری از هرگونه بهره‌برداری از این آسیب‌پذیری‌ها، به‌‌روزرسانی هرچه سریعتر مرورگر Firefox و نرم‌افزار Thunderbird به نسخه‌های جدیدتر و همچنین، خودداری از دانلود نرم‌افزارها از منابع نامطمئن توصیه می‌گردد.

منابع خبر:

[1] https://www.mozilla.org/en-US/security/advisories/mfsa2024-39

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-8388

VMware Fusion ماشین مجازی مختص کاربران macOS است که امکان اجرای مجازی سیستم‌عامل‌های مختلفی مانند ویندوز، لینوکس و سایر نسخه‌های macOS را بر روی دستگاه‌‌های mac فراهم می‌کند.این ماشین مجازی به دلیل استفاده از یک متغیر محیطی ناامن، حاوی یک آسیب‌پذیری اجرای کد (code execution) است.
این آسیب‌پذیری که با شناسه‌ CVE-2024-38811، شدت بالا و امتیاز CVSS 8.8 شناسایی شده‌ است، یک کاربر با امتیازات استاندارد را قادر می‌سازد تا کد مخرب را در پس‌زمینه برنامه VMware Fusion اجرا کند. استفاده از متغیرهای محیطی ناامن می‌تواند به اجرای کد مخرب منجر شود، زیرا برنامه‌ها اغلب از این متغیرها برای تعیین پارامترها و مسیرهای مهم استفاده می‌کنند. در VMware Fusion، مدیریت ناصحیح متغیرهای محیطی بدون اعتبارسنجی مناسب در فرایند اجرای برنامه، تزریق مقادیر مخرب به این متغیرها را برای یک مهاجم با دسترسی محدود (مثل یک کاربر عادی) ممکن می‌سازد.
در این حالت، مهاجم می‌تواند با تنظیم یا تغییر یک متغیر محیطی مرتبط با VMware Fusion، مقادیری را به برنامه تزریق کند که برنامه به عنوان ورودی معتبر پردازش می‌کند. سپس این ورودی ممکن است به اجرای کد دلخواه مهاجم منجر شود، به‌ ویژه اگر متغیرهای محیطی به فایل‌ها یا کتابخانه‌های خاصی که برنامه بارگذاری می‌کند، اشاره کنند. بنابراین متغیر محیطی ناامن به مهاجم اجازه می‌دهد که به صورت غیرمستقیم کنترل برنامه را در دست گرفته و از آن برای اجرای کد مخرب استفاده کند.
 

محصولات آسیب‌پذیر
این آسیب‌پذیری بر نسخه‌های 13.0 تا قبل از 13.6 از VMware Fusion تأثیر می‌گذارد که روی سیستم‌عامل macOS اجرا می‌شوند.
 

توصیه‌های امنیتی
به روزرسانی VMware Fusion به نسخه‌ 13.6 یا بالاتر توصیه می‌گردد.
 

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-38811