‫ اخبار

محققین Alien Labs گزارش‌هایی مبنی بر سوءاستفاده‌ی فعال از #‫آسیب‌پذیری CVE-2019-0604 در Microsoft SharePoint دریافت کرده‌اند.
آسیب‌پذیری CVE-2019-0604 یک نقص اجرای کد راه‌دور است که در نتیجه‌ی شکست SharePoint در بررسی نشان‌گذاری منبع بسته‌ی برنامه‌ی کاربردی ایجاد می‌شود. یک مهاجم می‌تواند از این نقص از طریق آپلود بسته‌ی برنامه کاربردی Sharepoint ساختگی خاص به نسخه‌های متأثر این نرم‌افزار، سوءاستفاده کند. سوءاستفاده‌ی موفق از این آسیب‌پذیری به مهاجم اجازه می‌دهد کد دلخواه را در متن حساب کاربری برنامه‌ی کاربردی SharePoint و کارگزار SharePoint اجرا کند.
محققین آزمایشگاهAT&T Alien از تلاش‌هایی برای سوءاستفاده علیه سازمان‌هایی در سعودی و کانادا خبر داده‌اند.
Markus Wulftange که این آسیب‌پذیری را کشف کرده است، کد سوءاستفاده‌ی نمایشی آسیب‌پذیری CVE-2019-0604 را در ماه مارس سال 2019 منتشر ساخت. مدتی بعد، در اواخر ماه آوریل، حملات آغاز شدند. مرکز امنیت سایبری کانادا در ماه مارس هشداری ارسال کرد، سپس مقاماتی از مرکز امنیت سایبری ملی سعودی (NCSC)، دومین هشدار امنیتی را در هفته‌ی پایانی ماه می ارسال کردند.
گزارش مرکز امنیت سایبری سعودی نشان می‌دهد که عاملان تهدید ابتدا سازمان‌های درون سلطنت را هدف قرار داده‌اند. گزارش قبلی مرکز امنیت سایبری کانادا، به‌کارگیری مشابهی از پوسته‌ی وب کوچک Chiny Chooper برای به‌دست آوردن پایگاه اولیه شناسایی کرده است. آزمایشگاه AT&T Alien بدافزار مشابهی را شناسایی کرده است که احتمالاً مشابه نسخه‌ی قبلی بدافزار مرحله دومی به‌کارگرفته‌شده در سوءاستفاده‌های از سعودی است.
این نمونه بدافزار توسط یک هدف در چین به اشتراک گذاشته شده است. این بدافزار دستورات رمزگذاری‌شده با AES را در http://$SERVER/Temporary_Listen_Addresses/SMSSERVICE دریافت می‌کند و دارای قابلیت اجرای دستورات و دانلود و آپلود فایل‌ها هستند.
به گفته‌ی کارشناسان، یک کاربر در توییتر گزارش داد که منبع حملات، آدرس IP 194.36.189[.]177 است که قبلاً مرتبط با گروه جرایم سایبری FIN7 بوده است. به گفته‌ی کارشناسان، عامل‌های تهدید مختلفی در تلاش برای سوءاستفاده از آسیب‌پذیری CVE-2019-0604 هستند.
خبر خوب برای کاربران مایکروسافت این است که این غول تکنولوژی قبلاً در به‌روزرسانی ماه فوریه‌ی سال 2019 خود، یک وصله برای آسیب‌پذیری CVE-2019-0604 منتشر ساخته است.
کارشناسان آزمایشگاه AT&T Alien قوانین Yara را به‌منظور شناسایی کد سوءاستفاده‌ی استفاده‌شده توسط مهاجمان را در https://www.alienvault.com/blogs/labs-research/sharepoint-vulnerability-exploited-in-the-wild/ منتشر ساخته‌‌اند.
با توجه به حملات فعال در حال انجام، به شرکت‌هایی که کارگزارهای SharePonit را اجرا می‌کنند توصیه می‌شود جهت مقابله با این تهدیدات، سیستم‌های خود را به‌روزرسانی کنند.
آسیب‌پذیری CVE-2019-0604 تعداد زیادی از نسخه‌های اخیر SharePoint را تحت‌تأثیر قرار می‌دهد، مانند:
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Foundation 2013 SP1
Microsoft SharePoint Server 2010 SP2
Microsoft SharePoint Server 2019
اگر وصله‌ها نمی‌توانند اعمال شوند، به سازمان‌ها توصیه می‌شود کارگزارهای SharePoint آسیب‌پذیر را در یک دیواره‌ی آتش که تنها در شبکه‌های داخلی قابل دسترسی است، قرار دهند. اگرچه ممکن است سیستم‌ها همچنان آسیب‌پذیر باقی بمانند؛ اما حداقل دروازه‌ای برای هکرها به سمت شبکه‌های سازمان‌ها نخواهند بود.

وصله‌های امنیتی منتشرشده توسط گوگل در ماه می سال 2019، 8 آسیب‌‌پذیری بحرانی در سیستم‌عامل Google، از جمله 4 #‫آسیب‌پذیری اجرای کد راه‌دور را برطرف می‌سازد.
شدیدترین نقص رفع‌شده در این به‌روزرسانی، یک اشکال بحرانی در Media Framework است که ممکن است از راه دور بااستفاده از یک فایل ساختگی خاص برای اجرای کد دلخواه در محدوده‌ی فرایند مجاز، مورد سوءاستفاده قرار گیرد. این آسیب‌پذیری با شناسه‌ی CVE-2019-2044 ردیابی می‌شود و نسخه‌های 7.0، 7.1.1، 7.1.2، 8.0، 8.1و 9 از سیستم‌عامل اندروید را تحت‌تأثیر قرار می‌دهد و در تمام دستگاه‌هایی که سطح وصله امنیتی Android 2019-05-01 را اجرا می‌کنند، برطرف شده است.
آسیب‌‌پذیری‌های بحرانی دیگری که در این سطح وصله برطرف شده‌اند شامل 3 نقص اجرای کد راه دور (CVE-2019-2045، CVE-2019-2046 و CVE-2019-2047) در سیستم هستند. این نقص‌ها، نسخه‌های 7.0، 7.1.1، 7.1.2، 8.0، 8.1و 9 از سیستم‌عامل اندروید را تحت‌تأثیر قرار می‌دهند.
پنج آسیب‌‌پذیری دیگری که در به‌روزرسانی ماه می سال 2019 برطرف شده‌اند شامل دو نقص افزایش امتیاز (CVE-2019-2049، CVE-2019-2050) و سه نقص افشای اطلاعات (CVE-2019-2051، CVE-2019-2052 و CVE-2019-2053) هستند. تمامی این پنج آسیب‌پذیری از نظر شدت، «بالا» رتبه‌بندی شده‌اند.
سطح وصله امنیتی Android 2019-05-01 یک نقص افزایش امتیاز با شدت «متوسط» در Framework را نیز برطرف می‌سازد. این نقص که با شناسه‌ی CVE-2019-2043 ردیابی می‌شود، می‌تواند یک برنامه‌ی کاربردی مخرب محلی را قادر سازد نیازمندی‌های تعامل کاربر را به‌منظور دست‌یافتن به مجوزهای بیشتر، دور بزند.
بخش دوم مجموعه وصله‌های اندرویدی ماه می سال ،2019 مسائل مربوط به اجزای Kernel، اجزای Broadcom، اجزای Qualcomm و اجزای متن بسته‌ی (closed-source) Qualcomm را برطرف می‌سازد. این آسیب‌پذیری‌ها در تمامی دستگاه‌هایی که سطح وصله‌ی امنیتی Android 2019-05-05 را اجرا می‌کنند، برطرف شده‌اند. این نقص‌ها شامل یک اشکال افزایش امتیاز با شدت متوسط در اجزای Kernel، یک مشکل افزایش امتیاز با شدت بالا در اجزای NVIDIA و یک آسیب‌پذیری اجرای کد راه دور با شدت بالا در اجزای Broadcomm هستند. دو نقص برطرف‌شده در اجزای Qualcomm از نظر شدت، «بالا» رتبه‌بندی شده‌اند و 15 نقص بطرف شده، مربوط به اجزای متن بسته‌ی Qualcomm هستند که 4 مورد از آن‌ها بحرانی و 11 مورد دیگر بالا رتبه‌بندی شده‌اند. چهار آسیب‌پذیری بحرانی در اجزای متن‌بسته‌ی Qualcomm، با شناسه‌ی CVE-2018-5912، CVE-2018-13898، CVE-2019-2255 و CVE-2019-2256 ردیابی می‌شوند.
همانند چندین ماه گذشته، بولتین به‌روزرسانی Pixel برای ماه می سال 2019، شامل هیچگونه وصله امنیتی نیست. هیچ وصله‌ی عملکردی نیز برای این دستگاه‌ها منتشر نشده است. با این حال، دستگاه‌های Pixel یک به‌روزرسانی دریافت خواهند کرد که اصلاحات مربوط به مسائل بولتن امنیتی ماه می سال 2019 اندروید را ارائه خواهد کرد.
با انتشار بولتین‌های امنیتی گوگل، دارندگان گوشی‌های Pixel گوگل می‌توانند آن را به سرعت دریافت کنند؛ اما دریافت به‌روزرسانی امنیتی برای کاربران اندرویدی گوشی‌های هوشمند سایر فروشندگان ممکن است چندین ماه طول بکشد. این امر، یک وضعیت گیج‌کننده و نارضایتمندانه است که گوگل چندین سال است سعی دارد آن را برطرف سازد و اخیراً توضیح داده است که چگونه می‌خواهد این مسائل را در نسخه‌ی بعدی Android (در حال حاضر با عنوان Android Q) بهبود بخشد. در حال حاضر، به‌روزرسانی امنیتی Google از طریق سازندگان تلفن همراه، به صورت به‌روزرسانی‌هایی که مختصات عناصر هر مدل و فروشنده را شامل می‌شود، دریافت می‌شود. ناگزیر، این امر زمان‌بر است.
با توجه به جزئیات منتشر شده در کنفرانس توسعه Google I/O 2019 و در مصاحبه‌ای با The Verge، پروژه اصلی این شرکت برای Q، یک رویکرد کاملاً متفاوت است که یک لیست از 14 ماژول OS را هوایی (over-the-air) مستقیماً از Play Store به‌روزرسانی می‌کند. این ماژول‌ها عبارتند از:
• ANGLE
• APK
• ورود به پورتال Captive
• Conscrypt
• برطرف‌کننده‌ی DNS
• Documents UI
• ExtServices
• کدک‌های Media
• اجزای Media Framework
• پیکربندی مجوز شبکه
• اجزای شبکه‌‌سازی
• کنترل‌گر مجوز
• داده‌‌های Time zone
• ابرداده‌های ماژول
به عبارتی دیگر، به‌روزرسانی این عناصر، مستقیماً از Google، بدون هر گونه واسطی، صورت خواهد گرفت.

#‫آسیب‌پذیری جدیدی با شناسه CVE-2019-0708 در سرویس دسترسی از راه دور ویندوز یافت شده است که در صورت سو استفاده توسط مهاجم امکان اجرای کد از راه دور را فراهم می‌کند. همچنین مهاجم می‌تواند نسبت به نصب برنامه‌ها و بدافزارها، تغییر و یا حذف داده‌ها و ساخت حساب کاربری با دسترسی کامل، اقدام نماید. وصله‌های امنیتی لازم برای جلوگیری از سواستفاده برای سیستم‌عامل‌های ویندوز XP تا سرور 2008 منتشر شده است و با توجه به درجه اهمیت "حیاتی" در نظر گرفته شده برای این آسیب‌پذیری، توصیه می‌گردد هرچه سریعتر نسبت به به روزرسانی و نصب وصله‌های امنیتی ارائه شده توسط مایکروسافت اقدام گردد:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

#‫سیسکو به‌روزرسانی‌های امنیتی را برای رفع یک #‫آسیب‌پذیری بحرانی که ابزار اتوماسیون خودکار مجازی این شرکت با نام «کنترل‌کننده‌ی خدمات الاستیکی سیسکو (ESC)» را تحت تأثیر قرار می‌دهد، منتشر کرد. یک مهاجم می‌تواند از راه دور این نقص را مورد سوءاستفاده قرار دهد و کنترل سیستم‌های آسیب‌دیده را به‌دست آورد.
ESC، یک مدیر توابع مجازی شبکه است که شرکت‌های تجاری را قادر می‌سازد تا به‌طور خودکار، استقرار و نظارت بر توابع در حال اجرا بر روی ماشین‌های مجازی خود را انجام دهند.
این آسیب‌پذیری دورزدن احراز هویت ("CVE-2019-1867") که دارای امتیاز CVSS 10 است و یک نقص حیاتی به‌شمار می‌آید، به دلیل اعتبارسنجی نامناسب درخواست‌های API در تابع REST است. REST ارتباط بین مشتری و سرور مبتنی بر وب است که از محدودیت‌های انتقال حالت نمایندگی (REST) استفاده می‌کند.
یک آسیب‌پذیری در REST API از ESC می‌تواند به مهاجم ناشناس برای دور زدن احراز هویت در REST API کمک کند.
مهاجم می‌تواند با ارسال یک درخواست ساخته‌شده به REST API، از این آسیب‌پذیری بهره‌برداری کند. یک سوءاستفاده‌ی موفق می‌تواند به مهاجم اجازه دهد تا عملیات دلخواه را از طریق REST API و با اختیارات اداری در سیستم آسیب‌دیده اجرا کند.
این نقص نسخه‌های 4.1، 4.2، 4.3، یا 4.4 از کنترل‌کننده‌ی خدمات الاستیکی سیسکو که حالت REST API در آن‌ها فعال است، تحت تأثیر قرار می‌دهد (REST API به‌طور پیش‌فرض فعال نیست).
سیسکو اعلام کرد که هیچ نشانه‌ای از سوءاستفاده‌ی گسترده از این آسیب‌پذیری وجود ندارد و این شرکت آن‌را با انتشار نسخه‌ی 4.5 رفع کرده است.
به کاربران توصیه می‌شود وصله‌هایی که برای این رفع این آسیب‌پذیری منتشر شده‌اند، به‌کار گیرند. این وصله‌ها برای نسخه‌های زیر در دسترس هستند:

#‫دروپال یک به‌روزرسانی امنیتی برای رفع #‫آسیب‌پذیری موجود در هسته‌ی دروپال منتشر کرد. این آسیب‌پذیری با شناسه‌ی " CVE-2019-11831" مشخص شده است و دارای درجه‌ی «متوسط» است. یک مهاجم می‌تواند از راه دور از این آسیب‌پذیری برای کنترل وب‌سایت آسیب‌دیده استفاده کند.
به‌روزرسانی امنیتی دروپال، وابستگی‌های شخص ثالث را که در هسته‌ی دروپال موجودند یا مورد نیاز آن هستند، رفع می‌کند.
به کاربران و مدیران توصیه می‌شود به‌روزرسانی‌های لازم را برای رفع این آسیب‌پذیری انجام دهند:
• کاربرانی که از دروپال 8.7 استفاده می‌کنند، آن‌را به 8.7.1 به‌روزرسانی کنند.
• کاربرانی که از دروپال 8.6 یا قبل از آن استفاده می‌کنند، آن‌را به 8.6.16 به‌روزرسانی کنند.
• کاربرانی که از دروپال 7 استفاده می‌کنند، آن‌را به 7.67 به‌روزرسانی کنند.
نسخه‌های دروپال 8 قبل از x.8.6 به پایان عمر خود رسیده‌اند و پوشش‌های امنیتی را دریافت نمی‌کنند.

#‫سیسکو وصله‌های امنیتی جهت رفع ده‌ها آسیب‌پذیری در محصولات خود منتشر کرده است. در میان نقص‌هایی که سیسکو برطرف ساخته است، یک آسیب‌پذیری بحرانی در سوئیچ‌های Nexus 9000 وجود دارد که با شناسه‌ی CVE-2019-1804 ردیابی می‌شود و رتبه‌ی CVSS 9.8 را دریافت کرده است.
این نقص در مدیریت کلیدی SSH نرم‌افزار سوئیچ سری‌های 9000 Nexus حالت زیرساخت مرکزی برنامه‌کاربردی سیسکو (Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) Mode Switch Software) که بخشی از نرم‌افزار SDN سیسکو است، وجود دارد.
شرکت‌ها از ACI برای اعمال و کنترل برنامه‌های کاربردی در زیرساخت‌های خود، از جمله موانع چندکاره خود به همراه سیاست‌های سازگار (از نظر تئوری باعث افزایش امنیت و دسترس‌پذیری بالا می‌شود) استفاده می‌کنند. متأسفانه سیسکو دارای یک جفت کلید پیش‌فرض داخلی برای تابع مدیریت کلید پوسته امن نرم‌افزار (SSH) است، بنابراین این نقص به مهاجم اجازه می‌دهد این جفت کلید را کشف و از راه دور و به عنوان یک کاربر قانونی به یک دستگاه آسیب‌پذیر سری‌های Nexus 9000 متصل شود. به عبارتی، یک مهاجم می‌تواند با بازکردن یک اتصال SSH از طریق IPv6 به دستگاه هدف، با استفاده از ابزار کلیدی استخراج‌شده، سوءاستفاده کند. این نقص بااستفاده از اتصالات ساخته‌شده از طریق IPv4 قابل سوءاستفاده نیست.
به گفته‌ی سیسکو، این نقص در تمامی دستگاه‌هایی که سوئیچ‌های Fabric سری‌های Nexus 9000 در حالت زیرساخت مرکزی برنامه‌کاربردی (ACI) که نسخه‌ی نرم‌افزاری Cisco NX-OS پیش از 14.1 (1i) را اجرا می‌کنند، وجود دارد.
سیسکو با انتشار به‌روزرسانی نرم‌افزاری، این نقص را برطرف ساخته است. سیسکو اطلاعاتی راجع به راه‌حل‌های مقابله با این آسیب‌پذیری و سوءاستفاده‌های عمومی از آن ندارد، لذا به کاربران توصیه می‌کند به آخرین نسخه‌ی نرم‌افزاری به‌روزرسانی کنند.
سیسکو همچنین وصله‌هایی برای بیش از 20 آسیب‌پذیری با شدت بالا که نرم‌افزار Web Security Appliance (WSA)، Umbrella Dashboard، Adaptive Security Appliance (ASA) و Firepower Threat Defence (FTD)، مسیریاب‌های RV320 و RV325، IP Phone سری‌های 7800 و 8800، نرم‌افزار Application Policy Infrastructure Controller (APIC) و سوئیچ‌های Nexus 9000 را تحت‌تأثیر قرار می‌دهد، منتشر ساخته است.
سوءاستفاده از این آسیب‌پذیری‌ها به مهاجمان اجازه‌ی افزایش امتیاز، ایجاد انکار سرویس در دستگاه‌‌های متأثر، سرقت نشست‌ها، دسترسی به یک داشبورد، دورزدن احرازهویت گواهینامه، استقرار یک نشست VPN یا کشف کلیدهای خصوصی یک دستگاه‌ متأثر می‌دهد.
از جمله‌ی این آسیب‌پذیری‌‌های با شدت بالا، یک آسیب‌پذیری SSH دیگر (CVE-2019-1859)، این بار در فرایند احرازهویت نرم‌افزار سوئیچ‌های Cisco Small Business، است . دلیل وجود این آسیب‌پذیری، نادیده‌ گرفته‌شدن فرایند احرازهویت توسط OpenSSH است. مهاجم می‌تواند با تلاش برای اتصال به دستگاه آسیب‌پذیر از طریق SSH، از این آسیب‌پذیری سوءاستفاده کند. سوءاستفاده‌ی موفق از این آسیب‌پذیری به مهاجم اجازه می‌دهد به عنوان یک کاربر مدیریتی، در صورتی که اعتبارنامه‌ها تغییر نیافته باشند، به پیکربندی دسترسی یابد.
آسیب‌پذیری با شدت بالای دیگر (CVE-2019-1635) که در گوشی‌های Cisco VoIP وجود دارند، می‌توانند منجر به سقوط آن‌ها شده و قابلیت‌‌های یک گوشی تجاری را کسب کنند. این نقص در برنامه تماس تلفنی پروتکل پیاده‌سازی نشست (SIP) برای Cisco IP Phone سری‌های 7800 و 8800 وجود دارد. این آسیب‌پذیری ناشی از مدیریت خطای ناکامل، زمانی که داده‌های XML درون یک بسته‌ی SIP تجزیه می‌شوند، است. یک مهاجم می‌تواند با ارسال بسته‌‌ی SIP که شامل یک خرابکاری XML مخرب به گوشی متأثر است از این آسیب‌پذیری سوءاستفاده کند. یک مهاجم ناشناس راه‌دور می‌تواند باعث شود گوشی متأثر به طور غیرمنتظره‌ای مجدداً بارگذاری شود و منجر به انکار سرویس (DoS) شود.
علاوه‌براین، سیسکو 18 نقص با شدت متوسط را نیز در محصولات مختلف خود برطرف ساخته است که می‌تواند برای اسکریپت‌نویسی متقابل (XSS)، حملات جعل درخواست متقابل (CSRF)، تزریق فرمان، دورزدن قابلیت فیلترسازی، انکار سرویس یا دسترسی به اطلاعات حساس مورد سوءاستفاده قرار گیرد.
از جمله‌ی این آسیب‌پذیری‌های با شدت متوسط، نقص جعل درخواست متقابل (CSRF، CVE-2019-1713) در رابط مدیریتی مبتنی بر وب در نرم‌افزار Adaptive Security Appliance (ASA) سیسکو است. این نقص به یک مهاجم راه‌دور احرازهویت‌نشده اجازه می‌دهد تا به لطف حفاطت‌های ناکافی CSRF برای واسط مدیریتی مبتنی بر وب ASA، از سیستم آسیب‌دیده سوءاستفاده کند. یک مهاجم می‌تواند با متقاعدکردن یک کاربر واسط به دنبال‌کردن یک لینک مخرب، از این آسیب‌پذیری سوءاستفاده کند.

محققان امنیتی یک #‫آسیب‌پذیری روز صفرم اجرای کد از راه دور کشف کرده‌اند که بر سرور Oracle WebLogic تأثیرمی‌گذارد و به‌طور گسترده مورد سوءاستفاده قرار گرفته است.
به‌گفته‌ی محققان، این نقص نسخه‌های WebLogic 10.x و WebLogic 12.1.3 را تحت تأثیر قرار می‌دهد. بیش از 36،000 سرور WebLogic ازجمله آخرین نسخه‌ی آن، نسبت به این حملات آسیب‌پذیر هستند و صاحبان سرورها باید راه‌حل‌های لازم را برای مقابله با هرگونه نقض احتمالی ایجاد کنند.
مهاجمان در این حملات، سرورهای WebLogic که مؤلفه‌های "WLS9_ASYNC" و "WLS-WSAT" را اجرا می‌کنند، هدف قرار می‌دهند. مؤلفه‌ی اول از عملیات ناهمزمان سرور پشتیبانی می‌کند، در حالی که مؤلفه‌ی دوم، امنیت سرور است.
یک آسیب‌پذیری در این دو مؤلفه وجود دارد که می‌تواند باعث تحریک کد مخرب شود و اجازه دهد که یک هکر به سیستم مورد نظر دسترسی پیدا کند.
مهاجم می‌تواند از طریق این آسیب‌پذیری، از راه دور دستورات را بدون ارسال مجوز و با ارسال یک درخواست HTTP ویژه‌ی ساخته‌شده، مورد سوءاستفاده قرار دهد.
برای جلوگیری از این حملات، توصیه می‌شود که شرکت‌ها، یا اجزای آسیب‌پذیر را حذف کنند و سرورهای WebLogic خود را مجدداً راه اندازی کنند یا قوانین دیوار آتش را برای جلوگیری از درخواست به دو مسیر URL (/_async/* و /wls-wsat/*) که توسط حملات مورد استفاده قرار می‌گیرند، فعال کنند.
به‌گفته‌ی محققان، مهاجمان فقط به دنبال سرورهای WebLogic هستند و سعی در رها کردن نرم‌افزارهای مخرب و یا اجرای کد مخرب در میزبان آسیب‌پذیر ندارند. اما فعالیت آن‌ها در هفته‌های آینده تغییر خواهد کرد و آن‌ها پس از یافتن سرورها و پرونده‌های آسیب پذیر، حملات کامل خود را آغاز خواهند کرد.
سرورهای WebLogic همواره مورد علاقه‌ی هکرها بوده‌اند. این به این دلیل است که سرورهای WebLogic معمولاً به مقادیر زیادی از منابع دسترسی دارند. علاوه‌براین، به دلیل اینکه سرورهای WebLogic اغلب در شبکه‌های سازمانی یا برای اجرای اینترانت‌ها یا دیگر برنامه‌های سازمانی دولتی مستقر می‌شوند، هر گونه مشکلی از یک سرور WebLogic به راحتی می‌تواند به یک فاجعه تبدیل شود و اطلاعات حساس تجارتی را در اختیار هکرها قرار دهد.
اوراکل به روز رسانی امنیتی را برای رفع این آسیب‌پذیری که شناسه‌ی "CVE-2019-2725" به آن اختصاص داده شده است، منتشر کرد. به صاحبان سرور Oracle WebLogic توصیه می‌شود تا در اسرع وقت آن را وصله کنند.

براساس بررسی های انجام شده در فضای بدافزارهای ایرانی، دسته ای از بدافزارها با صدها نمونه ی مختلف کشف شد که همگی آنها مربوط به توسعه دهنده ای به نام “RTR” است. بدافزارهای RTR با رفتارهای مخرب و عناوین متنوعی در حال انتشار و فعالیت هستند. برخی از این بدافزارها در فروشگاه های اندرویدی منتشر شده اند و برخی دیگر از طریق تبلیغات تلگرامی و دانلود خودکار توسط دیگر برنامه ها روی دستگاه قربانیان قرار گرفته اند. به طورکلی بدافزارهای RTR را می توان در5 شاخه مختلف دسته بندی کرد:
1 بدافزارهای مخفی شونده که از نام‌های مستهجن برای جذب مخاطب استفاده می‌کنند.
2 نسخه‌های جعلی و غیررسمی تلگرام که از آن‌ها برای فروش عضو، ارسال تبلیغات در گروه‌ها و ... استفاده می‌کنند.
3 برنامه‌های کاربردی که اغلب با استفاده از سرویس‌های ارسال هشدار، عملیات مخرب مختلفی روی دستگاه قربانی انجام می‌دهند.
4 بدافزارهای ارزش‌افزوده، که برای چندین شرکت مختلف ارزش‌افزوده، بدافزارهای واسطی را منتشر کرده و از این طریق به عضوگیری برای این سرویس‌ها پرداخته‌اند.
5 برنامه‌هایی همنام با برنامه‌های محبوب و معروف خارجی مانند برخی پیام‌رسان‌ها.
به دلیل گستردگی بدافزارهایRTR، سعی شده است هر دسته در گزارشی مجزا تحلیل و بررسی گردد.

برای مطالعه کامل کلیک نمایید

در سال‌های اخیر، پایش دائمی فضای اینترنت کشور بمنظور شناسایی تهدیدات و آسیب‌پذیری‌ها یکی از فعالیت‌های مرکز ماهر بوده است. یکی از حوزه های این پایش‌ها، وب‌سایت‌های میزبانی شده در کشور هستند. پایش فضای وب توسط سامانه جمع‌آوری و تحلیل وبسایت‌های این مرکز با استفاده از تکنیک‌های مختلف مانند Crawl، Web Scrape، Reverse DNS lookup و غیره جهت جمع‌آوری داده‌ها صورت می‌گیرد. سامانه فوق در طی مدت سه ماه زمستان ۱۳۹۷، بیش از 470،000 نام دامنه که در داخل کشور میزبانی می‌شوند را شناسایی کرده است. در این گزارش ارزیابی امنیت گواهی SSL این وبسایت‌ها میزان آسیب‌پذیری آن‌ها به حملات #‫SSL مورد بررسی قرار خواهد گرفت. برای این منظور، با استفاده از ابزارهای ایجاد شده اقدام به ارزیابی امنیتی گواهی SSL کردیم. همچنین در ادامه با ارزیابی آسیبپذیریها یا همان CVE های کشف شده برای گواهیهای مختلف، نسبت به ارزیابی امنیتی وبسایت‌های مختلف از نگاه امنیت گواهی SSL و پیاده سازی آن، پرداخته ایم.

دانلود گزارش

سیستم محبوب مدیریت محتوای #‫دروپال، به‌روزرسانی‌های امنیتی را برای رفع چند آسیب‌پذیری بسیار مهم منتشر کرد که می‌توانند به مهاجم اجازه دهد تا امنیت صدها هزار وب‌سایت را به‌خطر بیندارند.
با توجه به گزارشی که توسط توسعه‌دهندگان دروپال منتشر شد، تمام آسیب‌پذیری‌های امنیتی دروپال در ماه جاری در کتابخانه‌های شخص ثالث و در دروپال نسخه‌ی 8.6، 8.5 و یا قدیمی‌تر و نسخه‌ی ۷ قرار دارند.
یکی از این نقص‌های امنیتی، یک نقص XSS است که در یک افزونه‌ی شخص ثالث به نام JQuery قرار دارد. این افزونه که محبوب‌ترین کتابخانه‌ی جاوا اسکریپت است و توسط میلیون‌ها وب‌سایت استفاده می‌شود، در هسته‌ی دروپال به‌عنوان پیش‌فرض قرار دارد.
JQuery نسخه‌ی 3.4.0 را منتشر کرد تا آسیب‌پذیری گزارش‌شده را که هنوز شماره‌ی CVE به آن اختصاص نیافته است و بر تمامی نسخه‌های قبلی این کتابخانه تأثیر می‌گذارد، وصله کند.
jQuery 3.4.0 شامل اصلاحاتی برای رفع برخی رفتارهای ناخواسته هنگام استفاده از "jQuery.extend(true,{},…)" است. اگر یک شیء منبع، حاوی یک "proto___property__" باشد، می‌تواند "Object.prototype" اصلی را گسترش دهد.
ممکن است این آسیب‌پذیری با برخی از ماژول‌های دروپال قابل بهره‌برداری باشد.
سه آسیب‌پذیری امنیتی دیگر، در مؤلفه‌های PHP Symfony که توسط دروپال هسته استفاده می‌شوند، قرار دارند. این نقص‌ها عبارتند از:
• نقص اجرای کد دلخواه با شناسه‌ی "CVE-2019-10910"
• حملات دورزدن احراز هویت با شناسه‌ی "CVE-2019-10911"
• نقص تزریق اسکریپت مخرب (XSS) با شناسه‌ی "CVE-2019-10909"
باتوجه به محبوبیت سوءاستفاده از دروپال در میان هکرها، به شدت توصیه می‌شود که آخرین به‌روزرسانی این سیستم مدیریت محتوا در اسرع وقت نصب شوند.
کاربرانی که از دروپال 8.6 استفاده می‌کنند، باید آن‌را به دروپال 8.6.15 به‌روزرسانی کنند. کاربرانی که از دروپال 8.5 یا قبل از آن استفاده می‌کنند، به دروپال 8.5.15 به‌روزرسانی کنند و کاربرانی که از دروپال 7 استفاده می‌کنند، به دروپال 7.6.6 به‌روزرسانی کنند.