فا

‫ اخبار

هشدار در خصوص آسیب‌پذیری‌های موجود در محصولات SAP

شرکت SAP در تاریخ 20 مرداد ماه، به‌روزرسانی‌هایی به منظور وصله آسیب‌پذیری‌های موجود در محصولات خود منتشر کرد؛ توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سیستم‌های آسیب‌پذیر اقدام شود. در صورتی که امکان اعمال وصله‌ها وجود ندارد، توصیه می‌شود به‌طور موقت بخش (عملکرد) آسیب‌پذیر نسبت به هر #‫آسیب‌پذیری غیرفعال گردد.
محصولات تحت تاثیر این آسیب‌پذیری‌ها شامل موارد زیر هستند:

  • SAP Business One
  • SAP NetWeaver Development Infrastructure
  • SAP NZDT Row Count Reconciliation
  • SAP NetWeaver Enterprise Portal
  • SAP Fiori Client Native Mobile for Android
  • SAP Cloud Connector
  • SAP NetWeaver AS ABAP and ABAP Platform
  • SAP BusinessObjects Business Intelligence Platform

آسیب‌پذیری‌های مذکور شامل 3 آسیب‌پذیری بحرانی، 5 مورد شدت بالا و 7 مورد شدت متوسط است.
یکی از مهمترین آسیب‌پذیری‌های وصله شده، آسیب‌پذیری CVE-2021-33698 (بارگذاری فایل بدون محدودیت) است که مهاجم با بهره‌برداری از آن قادر است فایل‌های اسکریپت مخرب را روی سرور بارگذاری کرده و کد دلخواه خود را اجرا نماید. همچنین مهاجم با بهره‌برداری از آسیب‌پذیری CVE-2021-33690 (توسط ارسال درخواست‌های مخرب)، می‌تواند دسترس‌پذیری داده‌های حساس موجود در سرور را به خطر بیاندازد.
جهت مشاهده اطلاعات بیشتر در مورد این آسیب‌پذیری‌ها و نحوه اعمال به‌روزرسانی، به لینک زیر مراجعه کنید:

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806

در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های شدت بحرانی و بالای مورد بحث آورده شده است.

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806 https://www.securityweek.com/nine-critical-and-high-severity-vulnerabilities-patched-sap-products https://threatpost.com/sap-patches-critical-bugs/168558/

21 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
آسیب‌پذیری‌های بحرانی در Magento و Adobe Connect

شرکت Adobe اخیراً چند #‫آسیب‌پذیری بحرانی را در محصولات پرکاربرد Adobe Connect و Magento وصله کرده است. توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام کنید.
در جدول زیر آسیب‌پذیری‌های مهم این به‌روزرسانی به‌طور خلاصه آورده شده است:


جهت کسب اطلاعات بیشتر در مورد سایر آسیب‌پذیری‌های موجود در این دو محصول که در این به‌روزرسانی وصله شده‌اند به دو پیوند زیر مراجعه کنید:

https://helpx.adobe.com/security/products/magento/apsb21-64.html

https://helpx.adobe.com/security/products/connect/apsb21-66.html

21 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
اصلاحیه امنیتی ماه آگوست مایکروسافت

شرکت #‫مایکروسافت در تاریخ 19 مردادماه اصلاحیه امنیتی آگوست را به منظور وصله 44 مورد #‫آسیب‌پذیری در محصولات خود منتشر کرد ؛ توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام شود. امکان دریافت به‌روزرسانی برای کاربران ویندوز با استفاده از بخش windows update در مسیر زیر فراهم است:

Start > Settings > Update & Security > Windows Update

برخی از محصولات تحت تاثیر این آسیب‌پذیری‌ها شامل موارد زیر هستند:

  • .NET Core & Visual Studio
  • ASP.NET Core & Visual Studio
  • Azure
  • Windows Update
  • Windows Print Spooler Components
  • Windows Media
  • Windows Defender
  • Remote Desktop Client
  • Microsoft Dynamics
  • Microsoft Edge (Chromium-based)
  • Microsoft Office
  • Microsoft Office Word
  • Microsoft Office SharePoint

آسیب‌پذیری‌های مذکور شامل 7 آسیب‌پذیری بحرانی و 37 مورد آسیب‌پذیری مهم هستند. بهره‌برداری از 13 مورد از این آسیب‌پذیری‌ها منجر به اجرای کد از راه دور، هشت مورد از آن‌ها منجر به افشای اطلاعات، دو مورد منجر به حملات منع سرویس و چهار مورد منجر به حملات Spoofing خواهد شد. در بین وصله‌های ارائه شده، 3 مورد آسیب‌پذیری روزصفرم نیز وصله شده است:

  • CVE-2021-36948: آسیب‌پذیری افزایش سطح دسترسی در Windows Update Medic Service
  • CVE-2021-36942: آسیب‌پذیری Spoofing در Windows LSA
  • CVE-2021-36936: آسیب‌پذیری اجرای کد از راه دور در Windows Print Spooler

در بین موارد فوق تنها آسیب‌پذیری CVE-2021-36948 مورد بهره‌برداری قرار گرفته است. همچنین آسیب‌پذیری CVE-2021-36958 با شدت 7.3 یکی دیگر از آسیب‌پذیری‌های مربوط به سرویس Print Spooler ویندوز است که در به‌روزرسانی‌های آینده مایکروسافت رفع خواهد شد. مهاجم با بهره‌برداری از این آسیب‌پذیری قادر به نصب برنامه‌ها، مشاهده داده‌ها یا تغییر و حذف آن‌ها، ایجاد حساب‌های کاربری با امتیازات بالا و اجرای کد دلخواه با امتیازات SYSTEM خواهد بود. جهت جلوگیری از بهره‌برداری احتمالی، به کاربران توصیه می‌شود سرویس Print Spooler خود را متوقف یا غیرفعال نمایند. همچنین جهت جلوگیری از اتصال به یک چاپگر مخرب، ترافیک SMB خروجی را مسدود کنند.
برخی آسیب‌پذیری‌های مهم‌تر وصله شده در این به‌روزرسانی‌ها در جدول زیر آورده شده است:

جهت اطلاع از سایر محصولات آسیب‌پذیر و جزییات فنی این آسیب‌پذیری‌ها به پیوند زیر مراجعه نمایید:

https://msrc.microsoft.com/update-guide/releaseNote/2021-Aug

لازم به ذکر است که در این به‌روزرسانی، وصله‌های مربوط به آسیب‌پذیری‌های ماه قبل مایکروسافت موسوم به PrintNightmare و PetitPotam نیز منتشر شده شده است.
مراجع

https://www.zdnet.com/article/microsofts-august-2021-patch-tuesday-45-flaws-fixed-seven-critical-including-print-spooler-vulnerability/ https://msrc.microsoft.com/update-guide/releaseNote/2021-Aug https://www.bleepingcomputer.com/news/microsoft/microsoft-august-2021-patch-tuesday-fixes-3-zero-days-44-flaws/ https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/08/printnightmare-and-rdp-rce-among-major-issues-tackled-by-patch-tuesday/ https://thehackernews.com/2021/08/microsoft-security-bulletin-warns-of.html

21 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
سواستفاده ی گسترده ی مهاجمین از آسیب پذیری های Microsoft exchange

زنجیره ای از #‫آسیب‌پذیری های بحرانی با شناسه‌های CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 در محصولات #‫مایکروسافت وجود دارد که بهره برداری موفق از آن‌ها به اجرای کامل حمله ProxyShell Attack می‌انجامد. سوء‌استفاده از آسیب‌پذیری ها از راه دور و از طریق سرویس Microsoft client access service که بر روی پورت پیش فرض 443 در IIS وجود دارد، صورت می‌گیرد. بهره‌برداری موفق از این سه آسیب‌پذیری به مهاجم این امکان را می‌دهد تا در سیستم قربانی کد دلخواه خود را اجرا نماید.
مطابق با بررسی‌های صورت گرفته و اطلاعات موجود به مدیران مربوطه توصیه میشود دو رشته " /mapi/nspi/ " و " /autodiscover/autodiscover.json " در فایل‌های Log سرویس دهنده IIS بررسی شود. اگر هرکدام از رشته‌ها در خروجی رویت شد، این به این معنا است که سیستم هدف مورد بررسی آسیب‌پذیری قرار گرفته است و زنگ خطری است برای مدیر مربوطه.

نسخه های آسیب پذیر

به مدیران و مسئولان مربوطه اکیدا توصیه می‌شود تا نرم افزار مورد استفاده خود را با وصله‌های امنیتی منتشر شده برای این سه آسیب‌پذیری وصله نمایند.

منبع

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/

19 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
آسیب‌پذیری‌های بحرانی در محصولات سیسکو

شرکت #‫سیسکو اخیراً به منظور وصله چندین #‫آسیب‌پذیری‌ در محصولات خود به‌روزرسانی‌هایی را منتشر نموده است؛ در این بین یک مجموعه از محصولات سیسکو دارای دو آسیب‌پذیری با شدت بحرانی 9.8 از 10 و سایر موارد دارای شدت بالا یا متوسط هستند. بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها منجر به اجرای کد دلخواه از راه دور بر روی دستگاه‌های آسیب‌پذیر، افشای اطلاعات حافظه و یا reload شدن ناگهانی روتر خواهد شد. در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مهم این به‌روزرسانی آورده شده است.

با توجه به اینکه به جز آسیب‌پذیری مربوط به ConfD، هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی سیستم‌های آسیب‌پذیر اقدام کنید.
جهت مشاهده‌ی فهرستی از آسیب‌پذیری‌های اخیر محصولات سیسکو به پیوند زیر مراجعه کنید:

https://tools.cisco.com/security/center/publicationListing.x

جزییات فنی و Advisory مربوط به هر آسیب‌پذیری:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv340-cmdinj-rcedos-pY8J3qfy

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-code-execution-9UVJr7k4

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-packettracer-dll-inj-Qv8Mk5Jx https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-multi-lldp-u7e4chCe https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nso-priv-esc-XXqRtTfT https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-confd-priv-esc-LsGtCRx4

16 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
به‌روزرسانی محصولات VMware

شرکت VMware در به‌روزرسانی اخیر خود دو #‫آسیب‌پذیری را در محصولات خود وصله کرده است. توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام کنید.
آسیب‌پذیری‌ با شناسه CVE-2021-22002 و شدت بالای 8.6 از 10 ناشی از عدم ارزیابی کافی ورودی کاربر در محصولات آسیب‌پذیر بوده و به مهاجم امکان اجرای حملات SSRF از راه دور را می‌دهد. آسیب‌پذیر دیگر با شناسه CVE-2021-22003 شدت پایینی دارد (3.7 از 10). محصولات زیر تحت تاثیر می‌باشند:

  • VMware Workspace One Access (Access)
  • VMware Identity Manager (vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

با توجه به شدت بالای آسیب‌پذیری CVE-2021-22002 در صورتی که امکان به‌روزرسانی محصولات آسیب‌پذیر به آخرین نسخه وجود ندارد، توصیه می‌شود راهکارهای موقت موجود در پیوند زیر را اعمال کنید:

https://kb.vmware.com/s/article/85255

جهت اطلاع از جزییات این آسیب‌پذیری‌ها به پیوند زیر مراجعه کنید:

https://www.vmware.com/security/advisories/VMSA-2021-0016.html

16 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

اخیراً فهرست آسیب‌پذیری‌هایی که در سال 2020 مرتباً تحت بهره‌برداری فعال قرار داشتند و همچنین آسیب‌پذیری‌هایی که از آغاز سال 2021 تا کنون بهره‌برداری فعال از آنها مشاهده شده است توسط مرکز CISA منتشر شده‌ است. سیستم‌های آسیب‌پذیر در سازمان‌ها می‌توانند با اعمال وصله‌های منتشر شده یا پیاده‌سازی یک سیستم مدیریت وصله، مخاطرات مربوط به این آسیب‌پذیری‌ها را کاهش دهند. اکثر آسیب‌پذیری‌های معرفی شده، با اعمال به‌روزرسانی‌های منتشر شده رفع خواهند شد. در صورتی که امکان اعمال کلیه وصله‌های منتشر شده در سیستم آسیب‌پذیر وجود ندارد، توصیه می‌شود وصله‌ها ابتدا برای آسیب‌پذیری‌هایی که قبلاً مورد بهره‌برداری قرار گرفته‌اند یا سیستم‌های در معرض خطر بالقوه مانند سیستم‌های قابل دسترس از طریق اینترنت، اعمال شوند.
جزییات آسیب‌پذیری‌ها
فهرستی از آسیب‌پذیری‌هایی که در سال 2020 بیشترین بهره‌برداری فعال از آنها مشاهده شده است، در زیر آورده شده‌اند. در بین این موارد، بیشترین آسیب‌پذیری استفاده شده در حملات، آسیب‌پذیری CVE-2019-19781 بود:

پروتکل Netlogon مایکروسافت

آسیب‌پذیری ارتقاء سطح دسترسی با شناسه CVE-2020-1472 و شدت بحرانی 10.0

اطلاعات بیشتر: https://cert.ir/news/13110
محصول F5- Big IP
آسیب‌پذیری اجرای کد از راه دور با شناسه CVE-2020-5902 و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/13081
سیستم مدیریت محتوای Drupal
آسیب‌پذیری اجرای کد از راه دور با شناسه CVE-2018-7600 و شدت بحرانی 9.8
اطلاعات بیشتر: https://www.drupal.org/sa-core-2018-002
محصول Citrix Application Delivery Controller (ADC)
آسیب‌پذیری اجرای کد دلخواه با شناسه CVE-2019-19781 و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/12899
محصول Pulse Connect Secure (PCS)
آسیب‌پذیری خواندن فایل دلخواه با شناسه CVE-2019-11510 و شدت بحرانی 10.0
اطلاعات بیشتر: https://cert.ir/news/13093
محصول Fortinet FortiOS
آسیب‌پذیری پیمایش مسیر با شناسه CVE-2018-13379 و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/13197
محصول Microsoft SharePoint
آسیب‌پذیری اجرای کد از راه دور با شناسه CVE-2019-0604و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/12677
سیستم‌عامل ویندوز
آسیب‌پذیری ارتقاء سطح دسترسی با شناسه CVE-2020-0787 و شدت بالا 7.8
اطلاعات بیشتر: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-0787

علاوه بر وصله‌ی آسیب‌پذیری‌های فوق، وصله‌ی آسیب‌پذیری‌هایی که در سال 2021 تحت بهره‌برداری قرار گرفته‌اند نیز باید در دستور کار قرار گیرد. از این موارد می‌توان به آسیب‌پذیری در محصولات زیر اشاره کرد:

  • آسیب‌پذیری‌های مربوط به سرور Exchange مایکروسافت:

CVE-2021-26855، CVE-2021-26857، CVE-2021-26858 و CVE-2021-27065، CVE-2020-0688

  • آسیب‌پذیری‌های محصولات Pulse Secure:

CVE-2021-22893، CVE-2021-22894، CVE-2021-22899 و CVE-2021-22900

  • آسیب‌پذیری‌ در vSphere Client محصول VMware:

CVE-2021-21985

  • آسیب‌پذیری‌های مربوط به Fortinet FortiOS:

CVE-2018-13379، CVE-2020-12812 و CVE-2019-5591
طبق تحقیقات منتشر شده، سازمان‌های دولتی و خصوصی در سراسر جهان بیشتر در معرض مخاطرات این آسیب‌پذیری‌ها قرار دارند. یکی از موثرترین راهکارهای کاهش مخاطرات این آسیب‌پذیری‌ها و جلوگیری از نفوذ گروه‌های تهدید مانند APTها، نصب و اعمال وصله‌های امنیتی در سریع‌ترین زمان ممکن و یا بکارگیری راهکارهای موقت ارائه شده است.
مرجع

https://us-cert.cisa.gov/ncas/alerts/aa21-209a

10 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
هشدار در خصوص آسیب‌پذیری موجود در Node.js

Node.js یک محیط اجرای جاوا اسکریپت back-end است که در موتور V8 اجرا شده و منجر به اجرای کد جاوا اسکریپت در خارج از مرورگر خواهد شد. اخیراً Node.js یک به‌روزرسانی‌های امنیتی برای وصله #‫آسیب‌پذیری use-after-free شدت بالا با شناسه CVE-2021-22930 منتشر کرد. این آسیب‌پذیری بر نحوه مدیریت درخواست‌های HTTP2 تاثیر گذاشته و کلیه نسخه‌هایx.16،x.14 وx.12 از Node.js را تحت تاثیر خود قرار می‌دهد. با توجه به اهمیت این آسیب‌پذیری توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام شود. نسخه‌های 16.6.0، 12.22.4 (LTS) و 14.17.4 (LTS) نسخه‌های حاوی وصله هستند. این نسخه‌ها از لینک‌های زیر قابل دریافت هستند:

https://nodejs.org/en/blog/release/v12.22.4/

https://nodejs.org/en/blog/release/v14.17.4/

https://nodejs.org/en/blog/release/v16.6.0/

بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به اختلال در فرآیندها، ایجاد رفتارهای غیرمنتظره شامل خرابی برنامه و اجرای کد از راه دور شود.
در حال حاضر هیچ‌گونه روشی جهت کاهش مخاطرات این آسیب‌پذیری منتشر نشده است.
لازم به ذکر است Red Hat شدت این آسیب‌پذیری را 9.1 تعیین کرده است. جهت دریافت اطلاعات بیشتر در مورد این آسیب‌پذیری به لینک زیر مراجعه کنید:

https://access.redhat.com/security/cve/CVE-2021-22930#cve-faq

مراجع

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22930

https://www.ehackingnews.com/2021/08/nodejs-pushes-out-immediate-fixes-for.html

https://nodejs.org/en/blog/vulnerability/july-2021-security-releases-2/

https://access.redhat.com/security/cve/CVE-2021-22930#cve-faq

10 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
وجود آسیب پذیری در پلت فرم آموزشی Moodle

وجود آسیب پذیری از نوع RCE با شناسه CVE-2021-36394 و شدت خطر بحرانی در پلت فرم آموزشی Moodle.

در صورت بهره برداری موفق از این #‫آسیب‌پذیری، نفوذگر این امکان را دارد تا به اطلاعات دانشجویان مانند: اطلاعات کاربری، نتایج آزمون و غیره دسترسی داشته و حتی آنها را تغییر دهد. این آسیب پذیری از یک ماژول مکانیزم احراز هویت با نام shibboleth نشات می گیرد که به صورت پیش فرض غیر فعال است.
نسخه های آسیب پذیر

راه حل
به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا پلت فرم مورد استفاده خود را به آخرین نسخه به روز نمایند.
منبع

https://haxolot.com/posts/2021/moodle_pre_auth_shibboleth_rce_part1/
9 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

مهم‌ترین اخبار منتشر شده در در پورتال مرکز ماهر در ماه گذشته :

  • آسیب‌پذیری PrintNightmare با شدت بالا در سرویس Print Spooler ویندوز که بهره‌برداری از آن منجر به اجرای کد از راه دور بر روی سیستم ویندوزی و در اختیار گرفتن آن توسط مهاجم خواهد شد.
  • آسیب‌پذیری HP Integrated Light Out که امکان دورزدن احراز هویت و اجرای کد از راه دور و افشای اطلاعات را فراهم می‌سازد.
  • آسیب‌پذیری روز صفرم موجود در دو محصول Serv-U شرکت SolarWinds که به مهاجم امکان اجرای کد از راه دور، نصب برنامه، مشاهده، تغییر، یا حذف اطلاعات و یا اجرای برنامه‌های نصب شده بر روی سیستم آسیب‌پذیر را می‌دهد.
  • هشدار شرکت SonicWall در خصوص حملات فعال باج‌افزاری بر روی برخی از محصولات خود
  • دستورالعمل‌هایی برای جلوگیری از وقوع حوادث مشابه حملات سایبری اخیر
  • آسیب‌پذیری محصولات VMware که می‌تواند دسترسی‌های مدیر سیستم را بدون انجام احرازهویت به‌دست آورد و با قرار دادن یک فایل مخرب در یک دایرکتوری خاص و بهره‌برداری از آسیب‌پذیری، کد دلخواه خود را با دسترسی‌های بالا اجرا نماید.
  • هشدار شرکت Juniper Networks درخصوص آسیب‌پذیری بحرانی در محصول سرور AAA خود یعنی SBR Carrier که امکان اجرای کد از راه دور بر روی سیستم آسیب‌پذیر را برای مهاجم فراهم می‌کند.
  • به‌روزرسانی‌هایی ماه جولای محصولات مایکروسافت برای 117 مورد آسیب‌پذیری
  • آسیب‌پذیری بحرانی از نوع تزریق دستور SQL در برخی نسخه‌های افزونه‌ی WooCommerce که برای مهاجم احراز هویت نشده امکان اجرای کد بر روی وبسایت فروشگاهی آسیب‌پذیر را فراهم می‌کند

خلاصه‌ای ازمهم‌ترین آسیب‌پذیری‌ها درجدول زیر آورده شده است.

5 مرداد 1400 برچسب‌ها: اخبار, مهم‌ترین اخبار ماهانه
صفحات: 1 2 »