اخبار
شرکت موزیلا به تازگی باگی (Bug) را در مرورگر فایرفاکس رفع کرده است که سوءاستفاده از این #باگ موجب میشود تا کنترل تمام مرورگرهای فایرفاکس #اندروید موجود در یک شبکه وایفای را در دست گرفته و کاربران را وادار به دسترسی به سایتهای مخرب از جمله سایتهای فیشینگ کرد. این آسیبپذیری توسط Chris Moberly که در GitLab کار میکند، شناسایی شده است.
در واقع، مولفه Simple Service Discovery Protocol فایرفاکس که به اختصار SSDP نامیده میشود، آسیبپذیر است. SSDP مکانیزمی است که فایرفاکس برای شناسایی دیگر دستگاههای موجود در شبکه جهت اشتراک و دریافت محتوا (برای مثال اشتراک ویدئو با دستگاه Roku) استفاده میکند. زمانی که مکان دستگاه شناسایی شد، مولفهSSDP فایرفاکس مکان فایل XML را که پیکربندی دستگاه در آن قرار دارد، دریافت میکند.
Moberly نشان داد که در نسخههای پیشین فایرفاکس میتوان دستورات Intent اندروید را در این فایل XML مخفی کرد و مرورگر فایرفاکس را وادار به اجرای این دستورات Intent نمود.
دستورات Intent پیغامهایی هستند که به واسطه آنها از سیستم تقاضای انجام کار یا عملیات خاصی میشود. با استفاده از آبجکت intent میتوان بین کامپوننتهای مختلف یک برنامهکاربری و حتی کامپوننتهای نرمافزاری دیگر برنامههای کاربردی تعامل برقرار کرده و اطلاعات رد و بدل نمود. برای مثال، یک Activity میتواند Activity دیگر را جهت عکس گرفتن اجرا کند یا به فایرفاکس بگوید که وارد لینک مشخصی شود.
آسیبپذیری شرح داده شده در نسخه 79 از فایرفاکس رفع شده است. بنابراین به تمام کاربرانی که از مرورگر فایرفاکس در سیستمعامل اندروید استفاده میکنند، توصیه میشود که مرورگر خود را به آخرین نسخه موجود بهروزرسانی نمایند.
منابع
[1] https://www.zdnet.com/article/firefox-bug-lets-you-hijack-nearby-mobile-browsers-via-wifi/
[2]https://www.terabitweb.com/2020/09/19/firefox-android-wifi-hacking-html/
سیستم مدیریت محتوا دروپال(Drupal) به روزرسانی امنیتی را برای رفع چندین #آسیبپذیری مختلف در نسخه های x.7، x.8.8، x.8.9 و x.9.0 منتشر کرده است. نفوذگران با بهره برداری از این آسیب پذیری ها میتوانند اطلاعات حساسی را کسب کرده یا حمله تزریق کد (Cross-site scripting) انجام دهند. جهت مطالعه لیست آسیبپذیریهای بروز شده و راه کارهای مقابله با آنها اینجا کلیک کنید.
اخیراً شرکت سامسونگ برای رفع برخی #آسیبپذیریهای بحرانی موجود در تلفنهای همراه خود، بروزرسانیهای امنیتی منتشر کرد. این بروزرسانیهای امنیتی شامل تعداد زیادی وصله امنیتی میباشد که همه آسیبپذیریهای مهم در بسیاری از نسخههای سیستمعامل Android را برطرف میکند. با این حال، بروزرسانی امنیتی منتشر شده در سپتامبر سال 2020، شامل تلفن همراه مدل(SM-N960F(Galaxy Note 9 نیز خواهد شد. جهت مطالعه بیشتر اینجا کلیک کنید.
طبق تحقیقات صورت گرفته، هکرها در حال بهرهبرداری گسترده از #آسیبپذیری ارتقای مجوز دسترسی (elevation of privilege) با شناسهCVE-2020-1472 در Netlogon مایکروسافت میباشند. این در حالی است که مایکروسافت وصله این محصول را در ماه اگوست سال 2020 میلادی منتشر کردهاست. هکرها با بهرهبرداری از این آسییبپذیری در سیستمهایی که هنوز بهروزرسانی نشدهاند، دسترسی Administrator دامنه را به دست میآوردند.
از تمام کاربران درخواست میشود تا با مراجعه به سایت مایکروسافت سیستم خود را بهروزرسانی نمایند.
#آسیبپذیری روز صفر شناسایی شده در ویندوز 10 امکان ایجاد فایل در فولدر "system 32" را برای کاربران غیر مجاز فراهم میآورد. این فولدر جزء ناحیه محدود شده (Restricted) سیستم عامل است که اطلاعات حیاتی سیستمعامل و نرم افزارهای نصب شده آن در این فولدر نگهداری میشود. این آسیبپذیری فقط در دستگاههایی که ویژگی Hyper-V در آنها فعال است، وجود دارد که این عامل موجب کاهش تعداد دستگاههای هدف این حمله میشود. چراکه این ویژگی به صورت پیشفرض در نسخههای Pro،Enterprise وEducation از ویندوز 10 فعال نیست.
Hyper-V ویژگی است که ویندوز 10 برای ایجاد ماشین مجازی مورد استفاده قرار میدهد. با فراهمسازی منابع سختافزار کافی، Hyper-V میتواند ماشینهای مجازی بزرگ با 32 پردازنده و 512 گیگ رم را اجرا نماید. یک کاربر عادی ممکن است، هیچگاه نیاز به اجرای ماشین مجازی با این مشخصات نداشته باشد؛ اما کاربران عادی ممکن است مایل باشند تا Sandbox ویندوز را اجرا نمایند که استفاده از این ویژگی به صورت خودکار Hyper-V را فعال مینماید.
مایکروسافت در بهروزرسانی ماه می سال 2019 ، Sandbox را در نسخه 1903 از ویندوز 10 معرفی کرد. کاربران با فعال سازی Sandbox می توانند در محیط ایزوله و بدون نگرانی از تحت تاثیر قرار گرفتن سیستمعامل خود برنامهای را که به آن اعتماد ندارند، اجرا کنند یا وبسایتی مشکوکی را باز نمایند.
کاربران ویندوز 10 باید توجه نمایند که مایکروسافت فعلا وصلهای برای این محصول ارائه نداده است.
منبع
مایکروسافت در اصلاحیهای که 8 سپتامبر 2020 میلادی منتشر کرد برای 129 #آسیبپذیری محصولات خود، وصله ارائه نمودهاست. از میان این آسیبپذیریها 23 مورد جزء دستهبندی آسیبپذیرها با درجه اهمیت بحرانی (Critical) هستند، 105 مورد در دستهبندی با درجه اهمیت مهم (Important) قرار دارند و یک مورد نیز در دستهبندی با درجه اهمیت متوسط (Moderate) است. خوشبختانه هیچ آسیبپذیری روز صفری در میان آسیبپذیریهای رفع شده در اصلاحیه سپتامبر وجود ندارد. با این وجود، چند آسیبپذیری با درجه اهمیت بحرانی که منجر به اجرای کد از راه دور میشوند، در این اصلاحیه رفع شده است. جهت مطالعه بیشتر اینجا کلیک نمایید.
در پی نقص امنیتی موجود در نرمافزار ویدئو کنفرانس Jabber، شرکت سیسکو، نسخه جدیدی از این نرمافزار را برای سیستمعاملهای ویندوز منتشر کرد که در این بروزرسانی، آسیبپذیریهای موجود را وصله زده است. تبعات ناشی از این #آسیبپذیری ممکن است بسیار خطرناک باشد و در صورت بهرهبرداری از آن، احراز هویت مهاجم غیرمجاز تأیید شده و در نتیجه میتواند از راه دور کد دلخواد را اجرا کند. شدیدترین و خطرناکترین نقص امنیتی مربوط به آسیبپذیری با شناسه "CVE-2020-3495" و به دلیل اعتبارسنجی نادرست محتویات پیام است. با ارسال پیام مخرب و ساختگی Extensible Messaging and Presence Protocol (XMPP) توسط مهاجم، نرمافزار تحت تأثیر، مورد سوءاستفاده قرار میگیرد. این نقص دارای امتیاز CVSS 9.9 و شدت بحرانی است.
بنا بر اظهارات منتشر شده از طرف شرکت سیسکو: بهرهبرداری موفق از این آسیبپذیری موجب خواهد شد تا اپلیکیشن، برنامههای دلخواه را با سطح دسترسی حسابکاربریای که در حال اجرای نرمافزار کلاینت Jabber میباشد، بر روی سیستم هدف اجرا کند و منجر به اجرای کد دلخواه شود. این نقص پس از هشدار سیسکو مبنی بر بهرهبرداری از نقص روز صفرم نرمافزار روتر IOS XR به وجود آمد.
XMPP (که Jabber نامیده میشود) یک پروتکل ارتباطی مبتنی بر XML است که جهت سهولت در امر پیامرسانی فوری بین دو یا چند شبکه استفاده میشود، این پروتکل به گونهای طراحی شده است که توسعهپذیر بوده و امکان اضافه شدن قابلیتهای جدید از جمله XEP-0071: XHTML-IM به آن وجود دارد. نقص Cisco Jabber در واقع ناشی از آسیبپذیری (cross-site scripting (XSS به هنگام تجزیه و تحلیل پیام XHTML-IM میباشد.
به گفته محققان Watchcom، این اپلیکیشین، پیامهای HTML ورودی را به خوبی بررسی نمیکند و در عوض آنها را از طریق فیلتر XSS معیوب، منتقل میکند؛ در نتیجه یک پیام مجاز XMPP، قطع و اصلاح شده و باعث خواهد شد تا اپلیکیشن، یک برنامه اجرایی دلخواه را که از قبل در مسیر فایل محلی اپلیکیشن وجود داشته را اجرا کند. برای این امر، از تابع آسیبپذیر Chromium Embedded Framework (CEF) یعنی یک فریمورک اوپن سورس که در مرورگر وب اپلیکیشنهای دیگر استفاده میشود، بهره گرفته میشود. این امر میتواند توسط مهاجم مورد سوءاستفاده قرار گرفته و منجر به اجرای فایل "exe."در دستگاه قربانی شود.
بااین وجود، مهاجمان باید به دامنههای XMPP قربانی دسترسی داشته باشند تا جهت بهرهبرداری موفق از آسیبپذیری مذکور، پیام مخرب XMPP را ارسال کنند. علاوه بر این، سه نقص دیگر با شناسههای "CVE-2020-3537"، "CVE-2020-3498" و "CVE-2020-3430"، میتواند جهت تزریق دستورات مخرب و افشای اطلاعات مورد بهرهبرداری قرار گیرند، از جمله پسورد هش شده NTLM کاربران.
جهت کاهش خطرهای احتمالی، نرمافزار خود را به جدیدترین نسخه و نسخههایی که این آسیبپذیری در آنها رفع شده است(یعنی 12.1.3 , 12.5.2, 12.6.3, 12.7.2, 12.8.3 و 12.9.1) بروزرسانی کنید.
منابع
[1] https://thehackernews.com/2020/09/cisco-jabber-hacking.html [2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3495 [3] https://www.helpnetsecurity.com/2020/09/03/cve-2020-3495/
نفوذگران به صورت گسترده در حال بهرهبرداری از حمله اجرای کد از راه دور در افزونه مدیریت فایل وردپرس هستند. بهرهبرداری از #آسیبپذیری این افزونه، نفوذگران را قادر میسازد تا بدون احراز هویت در وبسایت وردپرسی آسیبپذیر، اسکریپت آپلود نموده و کد دلخواه خود را اجرا نمایند. افزونه مدیریت فایل، این امکان را برای کاربران فراهم میآورد تا بتوانند فایلها را به سادگی و به صورت مستقیم از طریق وردپرس مدیریت نمایند. همه نسخههای 6 الی 6.8 از این افزونه مدیریت فایل آسیبپذیر هستند و حدود 300،000 وبسایت وردپرسی از نسخههای آسیبپذیر این افزونه استفاده میکنند.
شرکت امنیت وردپرسWordfence این حمله را تایید کرده و هشدار داده است که فایروالWordfence بیش از 450,000 مورد تلاش برای بهرهبرداری از این ضعف را در چند روز گذشته بلاک کرده است. به کاربران این افزونه توصیه میشود تا در اسرع وقت افزونه خود را به نسخه 6.9 بهروزرسانی کنند.
منبع:
https://securityaffairs.co/wordpress/107826/hacking/file-manager-wordpress-plugin-flaw.html?utm_source=rss
هکرها کماکان در حال بهرهبرداری گسترده از #آسیبپذیری اجرای کد از راه دور در ثابتافزار (Firmware) استفادهشده در دستگاههای ذخیرهساز متصل به شبکه (QNAP (NAS که پیش از این هشدار آن منتشر شده بود، است. این درحالیست که آسیبپذیری مذکور سه سال پیش توسط کمپانی QNAP در نسخه 4.3.3 رفع شده است. هکرها با سوءاستفاده از باگ Command Injection موجود در دستگاه QNAP NAS حمله اجرای کد از راه دور را اجرا میکنند. این باگ در برنامه CGI در مسیر /httpd/cgi-bin/authLogout.cgi است. این کد در زمان خروج کاربران برای انتخاب تابع logout مناسب بر اساس فیلد "name" موجود در کوکی استفاده میشود.
QNAP این آسیبپذیری را در تاریخ 21 جولای سال 2017 با حذف متدی که دستورات از طریق آن تزریق میشد، در نسخه 4.3.3 رفع نموده است. لیست نسخههای آسیبپذیر ثابتافزار QNAP در جدول ذکر شده است.
باید توجه داشت که هکرها در حال سوءاستفاده گسترده از آسیبپذیریهای QNAP هستند. برای مثال در اوایل اگوست آژانس امنیتUS و UK از استفاده گسترده از بدافزار QSnatch خبر دادهاند. بنابراین توصیه میشود تا کاربران QNAP در اسرع وقت ثابتافزار خود را بهروزرسانی نمایند و همچنین همواره سیستم خود را با هدف شناسایی فرایندها و اتصالات شبکه غیرطبیعی به صورت مرتب بازرسی و مانیتور نمایند.
مرجع:
[1] https://securityaffairs.co/wordpress/107750/hacking/qnap-nas-attacks.html
[2]https://blog.netlab.360.com/in-the-wild-qnap-nas-attacks-en
در 29 اگوست سال 2020 میلادی، سیسکو طی بیانیهای در خصوص وجود #آسیبپذیری روز صفر در نرمافزارIOS XR هشدار داد. این بیانیه پس از آگاهی تیم پاسخ حوادث امنیتی محصولات سیسکو از تلاش برای بهرهبرداری از این آسیبپذیری منتشر شد. سیسکو دو روز بعد با بهروزرسانی بیانیه قبلی خود از وجود آسیبپذیری دیگری نیز در همین نرمافزار (نرمافزار IOS XR) خبر داد. شناسههای CVE-2020-3569 وCVE-2020-3566 به این دو آسیبپذیری اختصاص داده شده است و هر دو آسیبپذیری دارای شدت بالا هستند.
هر دستگاه سیسکویی که نرمافزار IOS XR را با یک اینترفیس فعال و پیکربندی مسیریابی Multicast استفاده میکند، تحت تاثیر این آسیبپذیریها قرار دارد. این آسیبپذیریها که از نوع انکار سرویس هستند به دلیل مدیریت نادرست صف بستههای Internet Group Management Protocol) IGMP) ایجاد میشوند.
هکرها برای بهرهبرداری از این آسیبپذیریها، ترافیک جعلی IGMP را به دستگاههای تحت تاثیر این آسیبپذیرها ارسال میکنند. بهرهبرداری موفق از این آسیبپذیریها موجب Memory exhaustion و در نتیجه بیثباتی فرایندهای دیگر از جمله فرایندهای مسیریابی داخلی و خارجی خواهد شد که نتیجه آن کند شدن یا اختلال کامل در شبکه میباشد.
براساس بیانیه سیسکو در حال حاضر هیچ وصلهای برای این آسیبپذیریها وجود ندارد و تیم سیسکو در حال تلاش برای ارائه وصله برای این دو آسیبپذیر هستند. با این حال سیسکو دو راهکار پیشنهادی برای جلوگیری از بهرهبرداری از این آسیبپذیریها ارائه کرده است.
- راهکار اول محدودسازی نرخ ترافیکIGMP و تنظیم نرخ ترافیک IGMP به کمتر از متوسط نرخ فعلی است. این راهکار قطعی نبوده و فقط موجب افزایش زمان بهرهبرداری خواهد شد. این راهکار با وارد کردن دستور زیر در Configuration mode قابل پیادهسازی است.
RP/0/0/CPU0:router(config)# lpts pifib hardware police flow igmp rate
- راهکار دوم بهروزرسانی interface access control list (ACL) یا ایجاد یک لیست جدید است به نوعی که از ترافیک ورودی DVMRP در سیستم جلوگیری کند. این راهکار با اجرای دستور زیر قابل پیادهسازی میباشد.
RP/0/0/CPU0:router(config)# ipv4 access-list deny igmp any any dvmrp
منابع
[1] https://www.cbronline.com/news/hackers-are-attempting-to-cripple-cisco-networking-kit-via-new-0day
[2] https://www.tenable.com/blog/cve-2020-3566-cve-2020-3569-zero-day-vulnerabilities-in-cisco-ios-xr-software-targeted-in-the
