‫ اخبار

#‫مایکروسافت در به‌روزرسانی ماه مارس سال 2019 خود، 64 آسیب‌پذیری وصله کرده است که 17 مورد از آن‌ها از نظر شدت «بحرانی»، 45 مورد «مهم»، یک مورد «متوسط» و یک مورد «پایین» رتبه‌بندی شده‌اند. وصله‌های ماه مارس مایکروسافت ویندوز، سرویس‌های آفیس و برنامه‌های تحت وب، Internet Explorer، Microsoft Edge، Exchange Server، Chakracore، .Net Framework، Team Foundation Services و NuGet را پوشش می‌دهد.
دو مورد از نقص‌هایی که در حملات مورد سوءاستفاده قرار گرفته‌اند، دو آسیب‌پذیری افزایش امتیاز روز صفرم هستند که هر دو «مهم» رتبه‌بندی شده‌اند و به مهاجم اجازه می‌‌دهند به سیستم دسترسی یافته، امتیازات خود را افزایش دهند و کنترل سیستم را در دست گیرند.
اولین آسیب‌پذیری روز صفرم، هفته‌ی گذشته توسط تیم تجزیه و تحلیل تهدیدات گوگل گزارش شد و دارای شناسه‌ی CVE-2019-0808 است و در حملات علیه کاربران 32 بیتی ویندوز 7 مورد سوءاستفاده قرار گرفته است. به گفته‌‌ی گوگل، مهاجمان از این آسیب‌پذیری روز صفرم به همراه یک آسیب‌پذیری روز صفرم کروم برای فرار از جعبه‌شنی مرورگر کروم و اجرای کد دلخواه در سیستم‌های هدف استفاده می‌کنند. نقش CVE-2019-0808 در زنجیره‌ی سوءاستفاده این است که به مهاجمان اجازه می‌دهد کد مخرب خود را با افزایش امتیاز مدیریتی اجرا کنند و آسیب‌پذیری روز صفرم کروم به مهاجمان کمک می‌کند از جعبه‌شنی امنیتی کروم فرار کنند. مایکروسافت در به‌روزرسانی ماه مارس خود، وصله را هم برای سیستم‌های ویندوز 7 و هم سیستم‌های Windows Server 2008 که تحت‌تأثیر این نقص قرارگرفته‌‌اند، منتشر ساخته است. ویندوز 10 تحت‌تأثیر این آسیب‌پذیری قرار نگرفته است. گوگل نیز نقص خود را با انتشار Chrome 72.0.3626.121 وصله کرده است.
آسیب‌پذیری روز صفرم دیگری که در ماه مارس وصله شده است نیز یک آسیب‌پذیری افزایش امتیاز ویندوز 32 بیتی با شناسه‌ی CVE-2019-0797 است و توسط کارشناسان آزمایشگاه کسپرسکی گزارش شده است.
برخلاف CVE-2019-0808، آسیب‌پذیری CVE-2019-0797، ویندوز 10، ویندوز 8.1، Windows Server 2012، Windows Server 2016 و Windows Server 2019 را تحت‌تأثیر قرار می‌دهد. این آسیب‌پذیری افزایش امتیاز زمانی در ویندوز وجود دارد که اجزای ویندوز 32 بیتی نتوانند اشیا را به درستی در حافظه مدیریت کنند.
به گفته‌ی کارشناسان کسپرسکی، نقص‌ CVE-2019-0797 توسط چندین عامل تهدید مختلف از جمله گروه‌های FruityArmor (گروه جاسوس سایبری که اولین بار در سال 2016 مشاهده شد و فعالان، محققان و اشخاص مربوط به سازمان‌های دولتی در تایلند، ایران، الجزایر، یمن، عربستان سعودی و سوئد را هدف قرار می‌دهد) و SandCat APT (توسط آزمایشکاه کسپرسکی در اواخر سال 2018 کشف شد) مورد سوءاستفاده قرار گرفته است.
علاوه بر دو آسیب‌پذیری روز صفرم فوق، مایکروسافت دوباره سه آسیب‌پذیری بزرگ در سرویس‌گیرنده‌ی DHCP مایکروسافت که به مهاجمان راه دور اجازه‌ی غلبه بر ماشین‌های آسیب‌پذیر را می‌دهد (CVE-2019-0697، CVE-2019-0698، CVE-2019-0726)، برطرف ساخته است. سازندگان سیستم‌عامل چندی پیش تعداد زیادی از این نقص‌های امنیتی DHCP را وصله کردند.
مایکروسافت همچنین اشکال Windows Deployment Services (WDS) را که اولین بار سال گذشته برطرف ساخته بود، وصله کرد. این نقص متفاوت از نقص WDS مشابهی است که توسط Check Point گزارش شده است.
توصیه می‌شود کاربران به پورتال رسمی Security Update Guide مایکروسافت که هم شامل اطلاعات مربوط به نقص‌های وصله‌شده و هم گزینه‌های فیلترسازی تعاملی است، مراجعه کنند تا وصله‌ها و به‌روزرسانی‌ها را تنها برای محصولات مورد علاقه‌ی خود بیابند.

یک #‫آسیب‌پذیری روز صفرم (CVE-2019-5786) در کروم کشف شده که شامل یک اشکال عدم مدیریت حافظه در بخشی از کروم با نام "FileReader" می باشد.

"FileReader" به توسعه‌دهندگان وب کمک می‌کند تا فهرست‌ها و محاوره‌های تازه را به نمایش بگذارند. مهاجم می‌تواند کنترل زیادی در مورد این اشکال خاص داشته باشد. این کار فقط به خواندن از فایل‌ها محدود نمی‌شود و می‌تواند منجر به اجرای کد از راه دور شود. بدین معنی که هرگونه نرم‌افزار مخربی می‌تواند بدون هیچ‌گونه هشدار یا پاپ‌آپ، بر روی سیستم قربانی نصب شود.
گوگل اعلام کرد که آسیب‌پذیری روز صفرمی که این شرکت در هفته‌ی گذشته وصله کرد، در واقع با یک آسیب‌پذیری روز صفرم دیگر که بر روی سیستم‌عامل مایکروسافت ویندوز 7 تأثیر می‌گذارد، مورد استفاده قرار می‌گیرد.
مهاجمان از این آسیب‌پذیری‌های روز صفرم کروم و ویندوز 7 برای اجرای کد مخرب و کنترل سیستم‌های آسیب‌پذیر استفاده می‌کنند.
این شرکت در روز پنج‌شنبه، هفتم مارس اعلام کرد که این حملات به‌شدت در وب مورد سوءاستفاده قرار گرفته‌اند و مایکروسافت در حال رفع این مشکل است.
آسیب‌پذیری روز صفرم موجود در ویندوز 7، یک آسیب‌پذیری افزایش دسترسی محلی در درایور هسته‌ی "win32k.sys" است که می‌تواند به عنوان یک فرار امنیتی از سندباکس مورد سوءاستفاده قرار گیرد.
این آسیب‌پذیری، یک ارجاع به اشاره‌گر NULL در "win32k!MNGetpItemFromIndex" است. زمانی که فراخوانی سیستمی "NtUserMNDragOver()" تحت شرایط خاصی فراخوانی می‌شود.
تا به امروز، فقط سوءاستفاده‌ی فعال از این اشکال تنها در سیستم‌های 32 بیتی ویندوز 7 مشاهده شده است.
این سوء‌استفاده به‌طور مستقیم کد کروم را هدف قرار داده است. مرکز ماهر از تمامی کاربران این مرورگر می‌خواهد بلافاصله آن‌را به آخرین نسخه (72.0.3626.121) به‌روز کنند.
کاربران باید پس از به‌روزرسانی، مرورگر خود را مجدداً راه‌اندازی کنند. برای اکثر کاربران، به‌روزرسانی به‌صورت خودکار انجام می‌شود، اما راه‌اندازی مجدد معمولاً یک اقدام دستی است.
تنها راه برای مقابله با نقص موجود در ویندوز 7 نیز، ارتقاء سیستم‌های خود به ویندوز 10 است. البته، به کاربران توصیه می‌شود وصله‌ها را به محض اینکه در دسترس قرار گرفتند، اعمال کنند.
گوگل هفته‌ی گذشته جزئیات یک آسیب‌پذیری روز صفرم در ویندوز را منتشر کرد که همراه با نقص " CVE-2019-5786" در کروم به‌طور جدی در حملات هدفمند مورد سوءاستفاده قرار گرفته است.
آسیب‌پذیری روز صفرم در ویندوز، یک مسئله‌ی تشدید امتیاز محلی در درایور هسته‌ی "win32k.sys" است و می‌تواند برای فرار از سندباکس امنیتی مورد سوءاستفاده قرار گیرد.
گوگل این موضوع را در مرورگر خود با راه‌اندازی یک نسخه‌ی پایدار (72.0.3626.121) برای سیستم‌عامل های ویندوز، مک و لینوکس رفع کرد.

دانلود پیوست

#‫سیسکو در هفته‌ی اول ماه مارس سال 2019 بیش از دو دوجین آسیب‌پذیری جدی را در سوئیچ‌های Nexus برطرف ساخته است. این آسیب‌پذیری‌ها در صورتی که مورد سوءاستفاده قرار بگیرند می‌توانند منجر به حملات انکار سرویس (DoS)، اجرای کد دلخواه یا افزایش امتیاز شوند.
توصیه‌نامه‌های جداگانه‌ای برای هر یک از این نقص‌ها متشر شده است که بسیاری از آن‌ها، نرم‌افزار NX-OS که سوئیچ‌های Nexus را روشن می‌کند و برخی دستگاه‌های دیگر سیسکو را تحت‌تأثیر قرار می‌دهد.
شکاف‌های امنیتی که با شدت «بالا» رتبه‌بندی شده‌اند، اجزایی همچون عامل Tetration Analytics، ویژگی LDAP، ویژگی تأیید امضای تصویر (Image Signature Verification)، رابط کاربری مدیریت حساب کاربری، رابط خط فرمان (CLI)، پیاده‌سازی پوسته‌ی Bash، پیاده‌سازی پروتکل FCoE NPV، اجزای سیستم‌فایل، پشته‌ی شبکه، اجزای Fabric Services، ویژگی NX-API و پیاده‌سازی 802.1X را تحت‌تأثیر قرار می‌دهند.
بسیاری از این نقص‌ها به مهاجمان داخلی مجاز اجازه می‌دهند کد دلخواه را در سطح ریشه اجرا کنند، تصاویر نرم‌افزاری مخرب را نصب نمایند، امتیازات را افزایش دهند، دسترسی خواندن و نوشتن به یک فایل پیکربندی مهم را به دست آورند یا از یک پوسته‌ی محدود در دستگاه فرار کنند.
تعداد کمی از این آسیب‌پذیری‌ها که می‌توانند از راه دور بدون احرازهویت مورد سوءاستفاده قرار گیرند، به مهاجمان اجازه می‌دهند منجر به یک وضعیت DoS در دستگاه‌های متأثر شوند. یکی از این نقص‌ها می‌تواند به صورت راه دور برای اجرای دستورات دلخواه با امتیازات ریشه با ارسال بسته‌های HTTP/HTTPS مخرب به رابط مدیریت سیستم متأثر، مورد سوءاستفاده قرار گیرد؛ اما مهاجم باید احراز هویت شود.
اکثر این آسیب‌پذیری‌ها توسط خود سیسکو کشف شده‌اند و به گفته‌ی این شرکت، تاکنون سوءاستفاده‌ی مخربی از این آسیب‌پذیری‌ها مشاهده نشده است.
سیسکو یک توصیه‌نامه‌ی امنیتی نیز منتشر کرده است که در آن، صاحبان دستگاه Nexus را مجبور می‌کند شبکه‌هایی را که در آن ویژگی PowerOn Auto Provisioning (POAP) مورد استفاده قرار گرفته است را ایمن سازند یا این ویژگی را غیرفعال کنند. ویژگی POAP به طور پیش‌فرض فعال است و بدین منظور طراحی شده است تا به سازمان‌ها کمک کند راه‌اندازی و پیکربندی اولیه‌ی سوئیچ‌های Nexus را به طور خودکار انجام دهند.
POAP یک اسکریپت پیکربندی را از اولین کارگزار DHCP برای پاسخ‌دهی می‌پذیرد و مکانیزمی برای ایجاد اعتماد با کارگزار DHCP وجود ندارد. مهاجمی که بتواند یک پاسخ DHCP ارسال کند، می‌تواند یک پیکربندی مخرب را برای دستگاه ارایه دهد که به مهاجم اجازه می‌دهد دستورات را در سطح دسترسی مدیریتی اجرا کند.
از آنجاییکه پیاده‌سازی اولیه‌ی POAP دارای گزینه‌ای برای غیرفعال‌سازی این ویژگی نیست، حال سیسکو تعدادی دستور CLI برای غیرفعال کردن POAP اضافه کرده است. به منظور غیرفعال‌کردن موقت POAP؛ حتی زمانی که سیستم پیکربندی نشده باشد، مشتریان می‌توانند از دستور CLI “system no poap” استفاده کنند. این خط دستوری تضمین می‌کند POAP طی بوت بعدی شروع به کار نمی‌کند؛ حتی اگر هیچ پیکربندی وجود نداشته باشد.
لیست کامل وصله‌هایی که سیسکو در هفته‌ی اول ماه مارس سال جاری منتشر ساخته است در وب‌‌سایت آن در دسترس است.

یک #‫آسیب‌پذیری بحرانی در مسیریاب‌های ویژه دفاتر کوچک #‫سیسکو (RV110W, RV130W,RV215W) و یک آسیب‌پذیری با درجه اهمیت بالا در محصولات ویدئوکنفرانس سیسکو وجود دارد که منجر به اجرای کد دلخواه می‌شوند. برای این محصولات به‌روزرسانی امنیتی منتشر شده است.

آسیب‌پذیری در مسیریاب‌های ویژه دفاتر کوچک

یک آسیب‌پذیری بحرانی در رابط تحت وب مسیریاب‌های سیسکو ویژه دفاتر کوچک وجود دارد که امکان اجرای کد دلخواه را توسط مهاجمِ راه دور، بدون نیاز به احراز هویت فراهم می‌کند. این آسیب‌پذیری، ناشی از اعتبارسنجی نامناسب داده‌های ورودی است. مهاجم می‌تواند با ارسال درخواست HTTP مخرب از این نقص سوء استفاده کند. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد دلخواه با دسترسی بالا روی سیستم‌عامل تجهیز شود.

شناسه آسیب‌پذیری: CVE-2019-1663

درجه اهمیت: بحرانی CVSS3 Base Score 9.8

تجهیزات آسیب‌پذیر عبارت اند از:

• RV110W Wireless-N VPN Firewall

• RV130W Wireless-N Multifunction VPN Router

• RV215W Wireless-N VPN Router

رابط تحت وب این تجهیزات از طریق شبکه محلی (LAN) و یا از طریق ویژگی مدیریت راه دور (remote management) قابل دسترسی است. البته ویژگی مدیریت راه دور به طور پیش‌فرض غیرفعال است.

راه حل

در نسخه‌های نرم‌افزاری زیر، این نقص برطرف شده است. همه نسخه‌های ماقبل، آسیب‌پذیر هستند:

• RV110W Wireless-N VPN Firewall: 1.2.2.1

• RV130W Wireless-N Multifunction VPN Router: 1.0.3.45

• RV215W Wireless-N VPN Router: 1.3.1.1

آسیب‌پذیری در محصولات ویدئوکنفرانس

آسیب‌پذیری با درجه اهمیت بالا در نرم‌افزار دسکتاپ Cisco Webex Meetings و Cisco Webex Productivity Tools نسخه ویندوز وجود دارد. این آسیب‌پذیری به مهاجم محلیِ احراز هویت نشده اجازه می‌دهد دستورات دلخواه را با دسترسی بالا (در چارچوب کاربر SYSTEM) اجرا کند.

هرچند برای بهره‌برداری از این نقص، مهاجم به دسترسی محلی نیاز دارد، اما در محیط‌های دارای Active Directory، می‌توان با استفاده از ابزارهای مدیریتی راهِ دور، از این نقص بهره‌برداری کرد.

شناسه: CVE-2019-1674

درجه اهمیت: بالا CVSS3 Base Score 7.8

راه حل

نرم‌افزارهای نامبرده را به نسخه به‌روز شده (مطابق جدول زیر) ارتقاء دهید.

منبع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-wmda-cmdinj

#‫آسیب‌پذیری جدید حیاتی با شماره CVE-2019-0630 بر روی نسخه ۲ سرویس‌دهنده #‫SMB مایکروسافت کشف شده است. این آسیب‌پذیری حیاتی امکان اجرای کد از راه دور و افزایش سطح دسترسی را به حمله کننده می‌دهد. این ضعف توسط مایکروسافت و در وب‌سایت رسمی این شرکت تایید شده است اما طریقه عملکرد اکسپلویت و محدوده خطر آن مورد تردید است چرا که برخی منابع از امکان اجرای حمله بدون نیاز به احراز هویت خبر داده اما برخی دیگر به لزوم احراز هویت به منظور بهره‌گیری اشاره می‌کنند. کد بهره‌گیری از این آسیب‌پذیری در حال حاضر بصورت عمومی در دسترس نیست، اما انتشار کد بهره‌گیری در آینده نزدیک دور از انتظار نیست.

اطلاعات فنی آسیب‌پذیری:
CVSS v3.0 Base Score: 8.8 HIGH
CVSS v2.0 Base Score: 9.0 HIGH
Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (V3 legend)
سیستم‌ های عامل‌ تحت تاثیر:
windows_7:-:sp1
windows_8.1
windows_rt_8.1
windows_10
windows_10:1607
windows_10:1703
windows_10:1709
windows_10:1803
windows_10:1809
windows_server_2008:sp2
windows_server_2008:-:sp2:itanium
windows_server_2008:r2:sp1
windows_server_2008:r2:sp1:itanium
windows_server_2012
windows_server_2012:r2
windows_server_2016
windows_server_2016:1709
windows_server_2016:1803
windows_server_2019

در روزهای گذشته، پویش درگاه 9527 و تلاش برای نفوذ به آن در سطح کشور به شدت افزایش پیدا کرده است. این درگاه، مربوط به یک قابلیت مستند نشده دیباگ برخی دوربین‌های مدار بسته تحت IP است. بیش از ۲ هزار دستگاه در جهان در حال پویش و رصد این دستگاه‌ها هستند. در صورت استفاده از دوربین‌های مداربسته تحت IP، از دسترسی حفاظت نشده‌ی تجهیز به اینترنت جلوگیری کنید. این درگاه کاربرد ضروری نداشته و فقط برای عیب‌یابی محصول در زمان تولید فعال شده است. در حال حاضر بیش از ۷۵۰۰ دستگاه در معرض این ضعف امنیتی در سطح کشور شناسایی شده است.

یک شرکت امنیتی به نام "EdgeSpot"، چندین سند PDF را شناسایی کرده است که از #‫آسیب‌پذیری روز صفرم در کروم، برای جمع‌آوری اطلاعات در مورد کاربرانی که فایل‌ها را از طریق مرورگر گوگل باز می‌کنند، بهره می‌گیرند.
به‌گفته‌ی این شرکت، اسناد PDF با اطلاعات موجود در دستگاه‌های کاربر (مانند آدرس IP، نسخه‌ی سیستم‌عامل، نسخه‌ی کروم و مسیر فایل PDF در رایانه‌ی کاربر) با یک دایرکتوری از راه دور تماس برقرار می‌کند. سپس داده‌ها را از طریق درخواست HTTP POST به یک سرور راه دور بدون نیاز به تعامل کاربر ارسال می‌کنند.
این شرکت اعلام کرد که دو مجموعه‌ی متمایز از فایل‌های PDF مخرب را با استفاده از این اشکال کروم شناسایی کرده است. یک سری از فایل‌ها در ماه اکتبر سال 2017 و دومین مجموعه در سپتامبر سال 2018 منتشر شدند.
نخستین دسته از فایل‌های PDF مخرب، اطلاعات کاربر را به دامنه‌ی "readnotify.com" و دومین دسته، آن‌ها را به "zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net" ارسال می‌کنند.
هیچ کد مخربی در فایل‌های PDF کشف‌شده وجود ندارد. با این حال، جمع‌آوری داده‌ها در مورد کاربرانی که فایل PDF را باز می‌کنند، می‌تواند به مهاجمان در تنظیم حملات آینده و سوءاستفاده از آن‌ها کمک کند.
اولین دسته از فایل‌هایی که EdgeSpot شناسایی کرده است، به‌رغم سوءاستفاده از اشکال کروم، مخرب نیستند. آن‌ها با استفاده از سرویس ردیابی PDF به نام ReadNotify مونتاژ شده‌اند. این سرویس به کاربران این امکان را می‌دهد که کسانی را که فایل‌های PDF آن‌ها را مشاهده می‌کنند، ردیابی کنند (خدمتی که از سال 2010 در دسترس است).
هیچ اطلاعاتی در مورد مجموعه‌ی دوم از فایل‌های PDF و ماهیت آن‌ها وجود ندارد.
EdgeSpot اعلام کرد که پس از کشف اسناد در سال گذشته، به گوگل اطلاع داده است. تیم کروم این آسیب‌پذیری را تأیید و قول داد تا اواخر ماه آوریل آن را اصلاح کند.
تا زمانی که گوگل وصله‌ای را برای این آسیب‌پذیری منتشر کند، توصیه می‌شود که کاربران از نرم‌افزار‌های نسخه‌ی دسکتاپ مانند Acrobat Reader برای مشاهده‌ی فایل‌های PDF استفاده کنند یا زمانی که اسناد PDF را در کروم باز می‌کنند، اتصال اینترنت خود را غیرفعال نمایند.

بررسی اخیر صورت گرفته، منجر به شناسایی 469 دستگاه رادیوی Ubiquiti مورد نفوذ قرار گرفته و همچنین شمار زیادی از این دستگاه ها با نسخه‌های firmware آسیب‌پذیر شده است. این دستگاه‌ها نیاز به ایمن‌سازی و بروزرسانی فوری دارند.

دستگاه های Ubiquiti معمولا تجهیزات شبکه و رادیویی هستند که در بسترهای مخابراتی و زیرساخت شبکه استفاده می‌شوند.

نفوذ به دستگاه ها توسط آسیب پذیری ها و ضعف های متعددی صورت گرفته است که در firmware بروز نشده‌ی این تجهیزات وجود دارد. از این رو توصیه می شود علاوه بر بروزرسانی نسخه firmware دستگاه، اقدام به تغییر و تنظیم گذرواژه پیچیده شود و از ایمن بودن پیکر بندی اطمینان حاصل شود. علاوه بر این اکیدا توصیه می‌گردد دسترسی مدیریتی این‌گونه تجهیزات بر روی اینترنت مسدود گردد. احتمال باقی ماندن آلودگی در دستگاه‌های هک شده حتی پس از بروزرسانی وجود دارد. لذا لازم است از پاکسازی کامل سیستم‌ اطمینان حاصل شود.

آخرین نسخه firmware دستگاه های این شرکت در لینک زیر قابل دریافت هستند:

https://www.ui.com/download/