فا

‫ اخبار

هشدار: آسیب‌پذیری‌های بحرانی در Exchange Server

#‫مایکروسافت در 24 فروردین ماه با انتشار به‌روزرسانی‌هایی از وجود چهار #‫آسیب‌پذیری خطرناک در ماکروسافت Exchange و پنج آسیب‌پذیری روز صفرم در محصولات دیگر خود خبر داد. همان‌طور که در جدول زیر مشاهده می‌شود، هر چهار آسیب‌پذیری در مایکروسافت Exchange در صورت بهره‌برداری موفقیت‌آمیز توسط مهاجم، منجر به اجرای کد از راه دور بر روی سیستم آسیب‌پذیر خواهد شد.

برای بررسی آسیب‌پذیر بودن سرور exchange خود از اسکریپت موجود در آدرس زیر استفاده نمایید. پس از دانلود اسکریپت فوق و اجرای دستورات cmdlet مشخص شده، امکان بررسی وجود آسیب‌پذیری در یک یا چند سرور exchange و دریافت گزارش فراهم می‌شود.

https://github.com/dpaulson45/HealthChecker#download

مایکروسافت برای هر چهار آسیب‌پذیری به‌روزرسانی‌هایی را منتشر کرده است. امکان دانلود پکیج به‌روزرسانی‌های منتشر شده در بخش Download Center در لینک زیر وجود دارد:

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-april-13-2021-kb5001779-8e08f3b3-fc7b-466c-bbb7-5d5aa16ef064

همچنین مطابق معمول امکان دریافت به‌روزرسانی‌ها توسط Microsoft Update نیز وجود دارد. تاکنون شواهدی مبنی بر بهره‌برداری فعال از آسیب‌پذیری‌های مورد بحث مشاهده نشده است اما با توجه به شدت بالای آسیب‌پذیری‌ها، توصیه می‌شود در اسرع وقت نسبت به اعمال وصله‌های منتشر شده بر روی سرورهای آسیب‌پذیر اقدام نمایید.
همچنین در جدول زیر نیز جزییات سه آسیب‌پذیری از بین پنج آسیب‌پذیری روز صفرم محصولات مختلف مایکروسافت که شدت بالایی داشتند، آورده شده است:

لازم به ذکر است که بهره‌برداری‌های فعال از آسیب‌پذیری CVE-2021-28310 توسط گروه تهدید مستمر پیشرفته‌ی BITTER مشاهده شده است. برای مشاهده‌ی سایر آسیب‌پذیری‌ها این مجموعه به‌روزرسانی ماکروسافت و دریافت وصله‌های امنیتی به پیوند زیر مراجعه کنید:

https://msrc.microsoft.com/update-guide/deployments

مرجع:

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

27 فروردین 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
آسیب پذیری سرویس دهنده dnsmasq

هفت نقص امنیتی مختلف بر روی سرویس دهنده dnsmsq به تازگی کشف و منتشر شده است. این #‫آسیب‌پذیری ها که از درجه خطر بحرانی تا متوسط دسته‌بندی شده‌اند منجر به آسیب‌پذیری‌هایی از نوع DNS cache poisoning و Buffer overflow می‌شوند. این مجموعه آسیب‌پذیری‌ها به مهاجم اجازه می‌دهد تا از راه دور کد دلخواه خود را بر روی سیستم اجرا کرده، حملات محروم سازی از سرویس را پیاده کرده و یا کاربران را به صفحات دلخواه خود از جمله صفحات فیشینگ هدایت کند. لازم به ذکر است که سواستفاده از این آسیب‌پذیری ساده تلقی شده و مدیران مربوطه می‌بایست هر چه سریعتر نسبت به وصله نمودن سرویس دهنده خود اقدام نمایند.

شکل 1 آسیب پذیری های Buffer overflow ذکر شده

شکل 2 آسیب پذیری های DNS Cache Poisoning ذکر شده

با توجه به بررسی های صورت گرفته تمامی نسخه های قبل از نسخه 2.83 آسیب پذیر می باشند. با اجرای دستور زیر در خط فرمان میتوان شماره نسخه سرویس دهنده خود را مشاهده نمود.

dnsmasq -v

به مدیران و مسئولان مربوطه تاکید می شود تا از آخرین نسخه موجود یعنی نسخه 2.83 استفاده و سرویس دهنده خود را هرچه سریع‌تر به‌روزرسانی نمایند. همچنین در صورت عدم نیاز به این سرویس دهنده آن را غیرفعال نموده یا تنظیمات را به گونه‌ای انجام دهند که این سرویس دهنده صرفا در شبکه داخلی اقدام به خدمت رسانی نماید.
با توجه به راه حل های اشاره شده در منابع مختلف برای جلوگیری از آسیب پذیری DNS cache poisoning نیاز است تا ویژگی DNSSEC فعال باشد اما در صورت فعال سازی این ویژگی مهاجم میتواند حملات Buffer overflow اشاره شده در متن گزارش را اجرا نماید به همین منظور راه حل های موقت برای مرتفع سازی این آسیب پذیری ها مورد تایید مرکز ماهر نیست.

منابع

https://www.jsof-tech.com/disclosures/dnspooq/ https://www.tenable.com/blog/dnspooq-seven-vulnerabilities-identified-in-dnsmasq

24 فروردین 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
هشدار در خصوص آسیب‌پذیری‌های موجود در محصولات cisco

شرکت #‫سیسکو در به‌روزرسانی اخیر خود، به‌روزرسانی‌هایی را به منظور وصله #‫آسیب‌پذیری‌ های موجود در محصولات خود منتشر کرد؛ لذا توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سیستم‌های آسیب‌پذیر اقدام شود. طبق advisory این شرکت، هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است و تنها با به‌روزرسانی محصولات آسیب‌پذیر می‌توان آن‌ها را رفع نمود.
این آسیب‌پذیری‌ها محصولات زیر را تحت تاثیر خود قرار می‌دهند:

  • Cisco SD-WAN vManage Software
  • Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface
  • Cisco Small Business RV Series Routers
  • Cisco Small Business RV Series Routers Link Layer Discovery Protocol
  • Cisco Unified Communications Products
  • Cisco Advanced Malware Protection for Endpoints Windows Connector, ClamAV for Windows, and Immunet DLL
چهار مورد از این آسیب‌پذیری‌ها، بحرانی و دارای شدت 9.8 و سایر موارد دارای شدت بالا هستند. با توجه به شدت این آسیب‌پذیری‌ها، مهاجم با بهره‌برداری از این آسیب‌پذیری‌ها می‌تواند کنترل کامل دستگاه آسیب‌پذیر را به دست آورد. بهره‌برداری موفقیت‌آمیز از کلیه این آسیب‌پذیری‌ها (به‌جز آسیب‌پذیری CVE-2021-1386) منجر به اجرای کد از راه دور در دستگاه‌های آسیب‌پذیر خواهد شد. همچنین بهره‌برداری از آسیب‌پذیری‌های CVE-2021-1251، CVE-2021-1308 و CVE-2021-1309 منجر به حملات منع سرویس خواهد شد. در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مورد بحث آورده شده است.

مراجع

https://us-cert.cisa.gov/ncas/current-activity/2021/04/08/cisco-releases-security-updates-multiple-products https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-YuTVWqy https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-rce-q3rxHnvm https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-rv-bypass-inject-Rbhgvfdx https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-multi-lldp-u7e4chCe https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-rce-pqVYwyb https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-amp-imm-dll-tu79hvkO

24 فروردین 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

گزارشی از 254 مورد خدمت ارائه شده توسط مرکز ماهر در دو هفته اول فروردین ماه سال 1400 (1 الی 15 فروردین 1400) در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.

16 فروردین 1400 برچسب‌ها: اخبار, گزارش هفتگی خدمات مرکز ماهر
خطر جدی سوءاستفاده از سلسله آسیب‌پذیری‌های FortiOS

پیرو اطلاع رسانی پیشین مرکز ماهر در خصوص چندین #‫آسیب‌پذیری در سیستم عامل امنیتی FortiOS شرکت Fortinet، بررسی ها نشان می دهد که گروه‌های مهاجم سازمان یافته با اسکن پورت های 443، 4443 ، 8443 و 10443 بر بستر اینترنت به دنبال کشف دستگاه‌های آسیب‌پذیر، بهره‌برداری و سوء‌استفاده از سلسله آسیب‌پذیری‌های مذکور با شناسه‌های زیر می‌باشند:
• CVE-2018-13379
• CVE-2019-5591
• CVE-2020-12812
این سلسله آسیب‌پذیری که محصولات SSL VPN (پورتال تحت وب VPN) این شرکت را تحت تاثیر قرار می‌دهند، به مهاجم امکان بدست آوردن Credentialها، دورزدن احراز هویت چند مرحله‌ای و شنود ترافیک احراز هویت (حمله مرد میانی-MITM) را به منظور رهگیری Credentialها فراهم می‌آورد. رصد فضای سایبری کشور توسط این مرکز انجام و به میزبان‌های آسیب‌پذیر اطلاع‌رسانی لازم انجام شده است.

توصیه ها:

  • در اسرع وقت نسبت به وصله آسیب‌پذیری‌های CVE-2018-13379، CVE-2019-5591 و CVE-2020-12812 اقدام شود.
  • در صورتی‌که از FortiOS در سازمان/ شرکت خود استفاده نمی‌کنید، امکان اجرای فایل‌های کلیدی مورد استفاده‌ی FortiOS را به لیست فایلی هایی که نباید در بستر سازمان/شرکت اجرا شود اضافه نمایید. به عبارت دیگر می‌بایست از هرگونه تلاش برای نصب و یا اجرای این برنامه و ملحقات آن جلوگیری نمایید.
  • به طور مرتب از اطلاعات خود نسخه پشتیبان تهیه نموده و از در دسترس نبودن آن‌ها و عدم امکان اصلاح/حذف اطمینان حاصل نمایید.
  • بخش بندی شبکه یا Segmentation را اعمال نمایید.
  • لزوم دارا بودن سطح مدیریتی یا Administrator را برای نصب برنامه فعال نمایید.
  • در دسترس بودن پورت های 443، 4443، 8443 و 10443 را بازنگری کرده و ملاحظات لازم را در نظر بگیرید.
15 فروردین 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

در پی انتشار نسخه اول ضدبدافزار بومی بیت بان برای سیستم عامل اندروید، این شرکت به سفارش مرکز ماهر، به بررسی تشخیص یا عدم تشخیص پنج بدافزار شایع در تلفن‌های همراه در کشور پرداخته است. نتیجه این بررسی در گزارش نشان می‌دهد که استفاده از این ضدبدافزار باعث شناسایی چنین بدافزارهایی در تلفن‌های همراه خواهد شد. همچنین یادآور می‌شود بررسی مرکز ماهر نشان می‌دهد که در حال حاضر بیش از صدهزار تلفن همراه در کشور آلوده به یکی از این بدافزارهای هستند. نمونه فایل‌های بدافزارهای بررسی شده از اینجا قابل دانلود است.

8 فروردین 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
به‌روزرسانی محصولات سیسکو: آسیب‌پذیری بحرانی در Cisco Jabber

شرکت #‫سیسکو در چهارم فروردین ماه سال جاری به‌روزرسانی‌هایی برای برخی محصولات خود منتشر کرد که در این بین یک #‫آسیب‌پذیری بحرانی با شدت 9.9 از 10 در نرم‌افزار Cisco Jabber در ویندوز وجود دارد که امکان اجرای برنامه دلخواه از راه دور را برای مهاجم احراز هویت شده فراهم می‌کند. سیسکو راهکار موقتی برای کاهش مخاطرات این آسیب‌پذیری ارائه نکرده است لذا توصیه می‌شود در اسرع وقت نسبت به اعمال وصله‌های منتشر شده اقدام نمایید. نسخه‌های وصله شده این محصول شامل 12.1.5، 12.5.4، 12.6.5، 12.7.4، 12.8.5 و 12.9.5 می‌باشند. دو آسیب‌پذیری دیگر با شدت بالا نیز نرم‌افزارCisco IOS XE را تحت تاثیر قرار می‌دهد. یک مهاجم احراز هویت نشده قادر است با بهره‌برداری موفقیت‌آمیز از این دو آسیب‌پذیری منجر به ایجاد شرایط منع سرویس (DoS) و اجرای کد دلخواه از راه دور با سطح دسترسی root شود (CVE-2021-1451 و CVE-2021-1446). سیسکو برای این دو آسیب‌پذیری راهکارهای کاهشی ارائه کرده است:
- راهکارهای کاهش مخاطرات CVE-2021-1451:

  • غیرفعال کردن Application TLVs در پروتکل Discovery سیسکو که به صورت پیش‌فرض در سوییچ‌های آسیب‌پذیر فعال است. برای غیرفعالسازی از دستور no cdp tlv app در بخش پیکربندی CLI استفاده نمایید. پیش از غیرفعال‌سازی برای حصول اطمینان از مورد استفاده نبودن این ویژگی در دستگاه از دستور show cdp tlv app استفاده کنید اگر خروجی دریافت کردید، غیرفعالسازی این ویژگی به صورت global پیشنهاد نمی‌شود.
  • در صورت عدم استفاده از پروتکل Discovery سیسکو می‌توانید با استفاده از دستور no cdp run در بخش پیکربندی CLI نسبت به غیرفعالسازی آن به صورت global در دستگاه اقدام کنید.
  • محدودسازی ترافیک ورودی به پورت 5500 UDP با ایجاد یک فهرست کنترل دسترسی (ACL).

- راهکارهای کاهش مخاطرات CVE-2021-1446:

  • غیرفعالسازی NAT ALG برای پکت‌های DNS. با توجه به اینکه این غیرفعالسازی ممکن است روند عادی شبکه را مختل کند لذا مدیران شبکه باید پیش از غیرفعالسازی اطمینان حاصل کنند که در محیط شبکه خود برای پکت‌های DNS نیازی به NAT ALG ندارند. برای غیرفعالسازی از دستورات no ip nat service dns tcp و no ip nat service dns udp در بخش پیکربندی CLI استفاده نمایید.

راهکار موقت یا جایگزینی برای کاهش مخاطرات سایر آسیب‌پذیری‌ها ارائه نشده است لذا توصیه می‌شود در اسرع وقت نسبت به اعمال وصله‌های منتشر شده اقدام نمایید. در جدول زیر جزییات بیشتری در خصوص آسیب‌پذیری‌های وصله شده آورده شده است.

مرجع

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities

7 فروردین 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی