#مایکروسافت یک #آسیبپذیری روزصفر را در آنتیویروس Defender رفع کرده است که قبل از انتشار این وصله، به صورت فعالانهای، توسط هکرها مورد سوء استفاده قرار میگرفته است. این باگ که با شناسه CVE-2021-1647 پیگیری میشود، از نوع آسیبپذیری اجرای کد از راه دور است و در مولفه Malware Protection Engine (mpengine.dll) یافت شده است.
مایکروسافت اعلام کرده است که یک کد اثبات مفهوم (PoC) برای این آسیبپذیری روزصفر در دسترس است. البته این شرکت تاکید کرده است که ممکن است، اکسپلویت این آسیبپذیری در بیشتر سیستمها امکانپذیر نباشد یا PoC در برخی از شرایط شکست بخورد.
آخرین نسخه تحتتأثیر این آسیبپذیری نسخه 1.1.17600.5 از Malware Protection Engine است و سیستمهایی که نسخه1.1.17700.4 یا نسخههای بالاتر از این موتور را اجرا میکنند، تحتتأثیر این آسیبپذیری نیستند.
مشتریان برای نصب بهروزرسانی امنیتی CVE-2021-1647 نیاز به هیچ اقدامی ندارند، زیرا این بهروزرسانی بهطور خودکار روی سیستمهای دارای نسخههای آسیبپذیر Microsoft Defender نصب میشود. با این وجود، توصیه میشود که کاربران این آنتیویروس، نسخه سیستم خود را بررسی کرده و مطمئن شوند که نسخه 1.1.17700.4 یا نسخههای بالاتر از این موتور را اجرا میکنند.
منبع:
گزارشی از 226 مورد خدمت ارائه شده توسط مرکز ماهر در هفته دوم و سوم آذر ماه (9 لغایت 23 دی ماه 1399)در گرافهای زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخشهای دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.
موزیلا برای رفع #آسیبپذیری Firefox ،Firefox اندروید و Firefox ESR بهروزرسانیهای امنیتی منتشر کرده است. این آسیبپذیری که با شناسه CVE-2020-16044 پیگیری میشود، دارای درجه اهمیت بحرانی بوده و به نحوهی برخورد Firefox با کوکیهای مرورگر ارتباط دارد. آسیبپذیری در نسخه 84.0.2 از Firefox، نسخه 78.6.1 از Firefox ESR و نسخه 84.1.3 از Firefox for Android رفع شده است. همچنین، گوگل نیز برای پلتفرمهای ویندوز، Mac و لینوکس، مرورگر گوگل کروم نسخه پایدار 87.0.4280.141 را منتشر کرده است. در این نسخه 16 نقص امنیتی رفع شده است. در صورت اکسپلویت این آسیبپذیریها مهاجم میتواند، کنترل سیستم آسیبپذیر را در اختیار بگیرد. برای رفع آنها کافیست، نسخه مرورگر خود را بهروزرسانی نمایید.
منبع:
بررسی سه #آسیبپذیری out HP-Integerated lights با شناسههای CVE-2017-12542، CVE-2018-7105 ،CVE-2018-7078 در سطح کشور نشان میدهد، برخی از شبکههای کشور در برابر این ضعفها به درستی محافظت نشدهاند. پیکربندی نادرست، عدم بهروزرسانی به موقع و عدم اعمال سیاستهای صحیح امنیتی در هنگام استفاده ازHP Integrated Lights-Out از دلایل اصلی این ضعف در شبکههای کشور میباشد. جدول زیر مشخصات این سه آسیبپذیری را نمایش میدهد.
به کاربران توصیه میشود:
• اگر دسترسی به این سرویس از طریق اینترنت ضروری نیست، دسترسی به آن را محدود به شبکه داخلی خود نمایند.
• با بهروزرسانی محصولات خود مطمئن شوند که تحت تاثیر این سه آسیبپذیری قرار ندارند.
• سیاستهای امنیتی سخت گیرانهای برای دسترسی به این سرویس از طریق اینترنت اعمال شود
ضعف امنیتی ناشی از سرویسدهنده Smart install در تجهیزات Cisco که با شناسههای CVE-2018-0156 و CVE-2018-0171 پیگیری میشود، این امکان را برای کاربران راه دور فراهم کرده است که بدون احراز هویت در سوییچهای #سیسکو، این تجهیزات را بهصورت مکرر Reload و حمله انکار سرویس را در این شبکهها پیادهسازی کند و یا کدهای دلخواه خود را از راه دور بر روی این تجهیزات اجرا نمایند. بررسیهای مرکز ماهر نشان میدهد، این دو #آسیبپذیری که در سال 1397 منتشر شده است، در برخی از تجهیزات کشور کماکان مشاهده میشود. لذا توصیه میگردد، هرچه سریعتر بهروزرسانیهای امنیتی مرتبط با سیسکو IOS وIOS XE اعمال شود.
Zyxel وصلهای را برای رفع #آسیبپذیری مهمی در میان افزار خود منتشر کرده است. این آسیبپذیری در رابطه با یک حساب کاربری مخفی با دسترسی مدیریتی است که اکنون افشاء شده است و مهاجمان میتوانند از این حساب کاربری برای ورود به سیستم و به خطر انداختن دستگاههای شبکه سوءاستفاده نمایند. این نقص که با شناسه CVE-2020-29583 پیگیری میشود، طیف وسیعی از دستگاههای Zyxel، از جمله Unified Security Gateway (USG) ، USG FLEX ، ATP و فایروالهای VPN را تحت تأثیر میگذارد. جدول زیر محصولات تحت تاثیر این آسیبپذیری را نمایش میدهد.
توصیه میشود، کاربران برای کاهش خطر مرتبط با این نقص، بهروزرسانیهای میان افزار را نصب کنند. همچنین انتظار میرود، این شرکت تایوانی با انتشار وصله V6.10 Patch1 که قرار است در آوریل سال 2021 منتشر شود، این مسئله را در کنترل کنندههای Access Point (AP) خود حل کند.
منبع:
اخیرا بدافزاری مبتنی بر زبان برنامهنویسی Go شناسایی شده است که از اوایل ماه دسامبر سال 2020 میلادی رو به گسترش است. این بدافزار برنامه استخراج کننده رمز ارز XMRig را جهت استخراج رمز ارز Monero برروی سرورهای ویندوزی و لینوکسی مستقر مینماید. بدافزار چند پلتفرمی مذکور، قابلیتی مشابه کرمهای کامپیوتری دارد که امکان گسترش به سیستمهای جدید را با استفاده از بروت-فورس سرویسهای عمومی فراهم میآورد.
این بدافزار با اسکن و سپس بروت-فورس سرویسهای عمومی مانند MYSQL، Tomcat، Jenkinsو WebLogic گسترش مییابد. همچنین نسخههای قدیمی این بدافزار قابلیت اکسپلویت آسیبپذیری با شناسه CVE-2020-14882 را که منجربه اجرای کد از راه دور در Oracle WebLogic میشوند، دارند. بدافزار بعد از تحت تاثیر قرار دادن یکی از سرورهای هدف، اسکریپت لودر خود (در لینوکسld.ps1 و در ویندوز ld.sh) را در سیستم هدف قرار میدهد. این اسکریپت جهت استقرار کد باینری کرم و ماینر XMRig در سیستم هدف مورد استفاده قرار میگیرد.
تا تاریخ 10 دی 1399طبق گزارش منتشر شده، امکان شناسایی کد باینری ELF کرم و اسکریپت مربوط به لودر بدافزار توسط VirusTotal وجود نداشته است. این موضوع نشان میدهد که خطر این بدافزار در سیستمهای لینوکسی بسیار بیشتر است.
هکرهای پشتیبان این بدافزار به صورت فعال قابلیتهای این بدافزار را از طریق سرور (C2) command-and-control به روزرسانی مینمایند. برای محافظت از سیستمها در برابر این بدافزار لازم است:
• گذرواژههای پیچیده انتخاب شود، تعداد تلاشهای ناموفق ورود به سیستم را محدود کرده و از روشهای احراز هویت دو فاکتور استفاده شود.
• سرویسهای با دسترسی عمومی غیر ضروری از دسترس خارج شود.
• نرمافزارهای به روز نگه داشته و وصلههای لازم اعمال شود.
منبع:
گزارشی از 257 مورد خدمت ارائه شده توسط مرکز ماهر در هفته چهارم آذر ماه و هفته اول دی ماه (25 آذرلغایت8 دی ماه 1399)در گرافهای زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخشهای دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.
چندین #آسیبپذیری در محصولات نسخه 1.x از TightVNC وجود دارد که امکان اجرای کد از راه دور و حمله انکار سرویس را در شرایط خاص فراهم میآورند. Siemens برای چندین محصول خود که تحت تاثیر آسیبپذیریهای TightVNC هستند، بهروزرسانی ارئه کرده است و در حال تلاش برای بهروزرسانی سایر محصولات تحت تاثیر آسیبپذیری است. برای مطالعه راهکار پیشنهادی Siemens برای جلوگیری از سوءاستفاده از این آسیبپذیریها و لیست محصولات آسیبپذیر شرکت اینجا کلیک نمایید.
چندی پیش خبری مبنی بر #آسیبپذیری SolarWinds و خطرات احتمالی آن در کشور مطرح شد. در حال حاضر اطلاعات بیشتری از این حملات در اختیار رسانهها قرار میگیرد. اکنون بعد از خبر تحت تاثیر قرار گرفتن اینتل، مایکروسافت و موارد مشابه، VMware و سیسکو نیز تصدیق کردهاند که تحت تاثیر زنجیره حملات SolarWinds قرار داشتهاند.
VMware در بیانیهای از وجود چندین نرمافزار آلوده در شبکه داخلی خود خبر داد و بیان کرد که این آسیبپذیریها اکسپلویت نشدهاند. این شرکت تاکید کرد که آسیبپذیری روز صفر این شرکت با شناسه آسیبپذیری CVE-2020-4006 به عنوان یک روش حمله مضاعف در کنار آسیبپذیری SolarWinds جهت تحت تاثیر قرار دادن اهداف مهم استفاده میشود. محصولات زیر از VMware تحت تاثیر این آسیبپذیری روز صفرم قرار دارند. توصیه میشود کاربران این محصولات با مراجعه به این سایت محصولات خود را بهروزرسانی نمایند.
همچنین سیسکو بیان کرده است که با وجود اینکه از Solarwinds برای مدیریت شبکه و مانیتورینگ آن در شبکه شرکت خود استفاده نمیکرده، چندین نمونه نرم افزار آلوده Solarwinds را در محیط آزمایشگاهی و سیستم نهایی کارمندان خود یافته است.
متاسفانه شرکتهای تحت تاثیر این آسیبپذیری بسیار زیاد هستند و برای مقابله با این آسیبپذیری در کشور لازم است، تمام سازمانها در گام اول از عدم آسیبپذیری سیستمهای خود اطمینان حاصل نمایند و سپس با استفاده از اقدامات پیشگیرنده مانع از نفوذ این بدافزار در سامانه خود شوند.
منابع: