فا

‫ اخبار

صفحات: « 1 2 3 4 5 ... » »»
به‌روزرسانی ماه ژوئن مايکروسافت و رفع چهار آسيب‌پذيری روز صفرم

#‫مایکروسافت به‌روزرسانی امنیتی خود در ماه ژوئن را منتشر کرد. این به‌روزرسانی شامل 4 هشدار امنیتی و رفع 88 آسیب‌پذیری است که 21 مورد از آن‌ها به‌عنوان «بحرانی» طبقه‌بندی شده‌اند. برخی از این هشدارهای امنیتی شامل درایورهای به‌روزشده و نرم‌افزاری هستند که آسیب‌پذیری‌های سخت‌افزاری و نرم‌افزاری شخص ثالث مانند Adobe Flash Player را رفع می‌کنند.
مایکروسافت با انتشار این به‌روزرسانی، چهار آسیب‌پذیری روز صفرم را رفع کرد که یک محقق امنیتی به نام "SandboxEscaper" طی یک ماه گذشته به‌صورت برخط آن‌ها را منتشر کرده بود. هر چهار آسیب‌پذیری، نقص‌های افزایش امتیاز هستند که بر روی ویندوز تأثیر می‌گذارند و عبارتند از:
• "CVE-2019-1069"- آسیب‌پذیری موجود در برنامه‌ی زمانبندی ویندوز (BearLPE).
• "CVE-2019-1064"- آسیب‌پذیری افزایش امتیاز در ویندوز (CVE-2019-0841-BYPASS) که مایکروسافت در ماه آوریل آن‌را وصله کرد، اما " SandboxEscaper" توانست وصله‌ی مایکروسافت را دور بزند و بار دیگر از آن سوءاستفاده کند. به‌نظر می‌رسد این اشکال در این به‌روزرسانی، به‌طور کامل رفع شده است.
• "CVE-2019-1053"- آسیب‌پذیری موجود در Windows Shell که می‌تواند با فرار از یک sandbox، منجر به افزایش امتیاز بر روی سیستم آسیب‌دیده شود (SandboxEscape).
• "CVE-2019-0973"- آسیب‌پذیری ارتقای مجوز در نصب‌کننده‌ی ویندوز (InstallerBypass).
مایکروسافت همچنین در این ماه، چهار نقص اجرای کد از راه دور (RCE) با شناسه‌های "CVE-2019-9500"، "CVE-2019-9501"، "CVE-2019-9502" و "CVE-2019-9503" را که بر روی تراشه‌های بی‌سیم "Broadcom" موجود در دستگاه‌های "HoloLens" تأثیر می‌گذارند، رفع کرد.
این شرکت همچنین هشدار داد که برخی از کلیدهای امنیتی مبتنی بر بلوتوث، پس از اعمال وصله‌های این ماه، از کار خواهند افتاد.
مایکروسافت در واقع به کلیدهای امنیتی "Feitian" و "Google Titan" اشاره دارد که حاوی تنظیمات غلط در پروتکل‌های جفت‌سازی بلوتوث هستند و به مهاجم اجازه می‌دهند تا با کلید ارتباط برقرار کند.
به‌روزرسانی مهم دیگری نیز برای رفع اشکال (CVE-2019-7845) در فلش‌پلیر منتشر شد. این اشکال می‌تواند منجر به اجرای کد دلخواه در دستگاه قربانی شود. Adobe همچنین وصله‌هایی برای سه آسیب‌پذیری مهم در "ColdFusion" و هفت اشکال در "Adobe Campaign" که یکی از آن‌ها بسیار مهم است، منتشر کرد.
به همه‌ی کاربران محصولات مایکروسافت توصیه می‌شود تا هرچه سریع‌تر این آسیب‌پذیری‌ها را با دریافت آخرین به‌روزرسانی وصله کنند تا از سوءاستفاده از این اشکالات توسط مهاجمان سایبری جلوگیری کنند. کاربران می‌توانند برای نصب به‌روزرسانی‌ها، مسیر " Settings → Update & security → Windows Update → Check for updates" را دنبال کرده یا به‌طور دستی به نصب آخرین به‌روزرسانی‌ها اقدام کنند.

9 تیر 1398 برچسب‌ها: اخبار
بدافزار اندرویدی جدید که با استفاده از گوگل کروم، وب‌سایت‌های مخرب را از طریق اعلان‌ها بارگذاری می‌کند.

#‫بدافزار جدیدی در فروشگاه #‫گوگل_پلی کشف شده است که کاربران را به وب‌سایت‌های مخرب هدایت می‌کند و به شکل منظم برایشان اعلان‌های تبلیغاتی قرار می‌دهد. این بدافزار به صورت پنهان و تحت نرم‌افزار رسمی برند‌های مشهور توزیع شده است.
اعلان‌های وب یک ویژگی است که به وب‌سایت‌ها اجازه می‌دهد که اعلان‌هایشان را برای کاربران ارسال کنند، حتی اگر وب‌سایت مربوطه باز نباشد. مهاجمان هم با انتشار تبلیغات و اعلان‌های جعلی و کلاهبرداری که از وب‌سایت‌های هک‌شده و مخرب می‌آیند، از این ویژگی سوءاستفاده می‌کنند.
طبق گزارش تیم امنیتی Dr.web، تروجان Android.FakeApp.174 یکی از اولین بدافزار‌هایی است که به مهاجمان کمک می‌کند تا تعداد بازدیدکنندگان این وب‌سایت‌های جعلی و مخرب را افزایش دهند و همچنین اعلان‌هایشان را برای کاربران تلفن‌های هوشمند و تبلت‌ها نیز به اشتراک بگذارند.
محققان دو نوع از این نرم‌افزارها را در فروشگاه گوگل کشف کرده‌اند که وب‌سایت‌های مخرب را از طریق مرورگر کروم بارگذاری می‌کنند و چندین تغییر مسیر را به صفحات برنامه‌های مختلف وابسته انجام می‌دهند.
هر یک از صفحات بازدید شده، اعلان‌هایی را به کاربران نشان می‌دهند و به کاربران اطلاع می‌دهد که این اعلان‌ها برای اهدافی مثل احراز هویت هستند. همین امر منجر به افزایش تعداد اشتراک‌های موفق مهاجمان می‌شود.
هنگامی که اشتراکی تایید می‌شود، وب‌سایت‌ها شروع به قرار دادن اعلان‌های جعلی مختلفی از جمله جوایز نقدی، پیام‌های انتقال، پیام‌های جدید در رسانه‌های اجتماعی و تبلیغاتی شامل طالع بینی، کالاها و خدمات و یا حتی اخبار مختلف می‌کنند.
این اعلان‌های جعلی به نظر خیلی واقعی می‌آیند و از طرف سرویس‌های آنلاین محبوب هستند و همچنین لینک وب‌سایتی معتبری که اعلان مربوطه از آن می‌آید را هم دارند که منجر به، معتبر به نظر رسیدن آن‌ها می‌شود.
با کلیک کردن کاربر بر روی لینک اعلان‌های مورد نظر، آن‌ها به صفحه با محتوای مخرب هدایت می‌شوند که شامل تبلیغات مختلف، فروشگاه‌های شرط‌بندی، برنامه‌های مختلف فروشگاه گوگل پلی، تخفیف‌ها، نظرسنجی‌های جعلی آنلاین و سایر منابع آنلاین دیگر می‌شود که بر اساس کشور کاربر قربانی، متفاوت است.
کاربران باید هنگام بازدید از وب‌سایت‌ها مراقب باشند و در اعلان‌های مختلف و مشکوک، مشترک نشوند. همچنین به کاربران اندرویدی که قبلاً برای اعلانی مشترک شده‌اند، توصیه می‌شود که مراحل زیر را برای خلاص شدن از این اعلان‌های اسپم انجام دهند.
• در تنظیمات مرورگر کروم ابتدا به Site Settings و بعد به Notifications بروید.
• در فهرست وب‌سایت‌های دارای اعلان، آدرس وب‌سایت را پیدا کنید و روی آن ضربه بزنید و Clear & reset را انتخاب کنید.

4 تیر 1398 برچسب‌ها: اخبار
انتشار وصله آسیب‌پذیری‌های بحرانی موجود درمحصولات مختلف سیسکو

شرکت #‫سیسکو وصله مربوط به چندین #‫آسیب‌پذیری در سطح بحرانی و شدید موجود در محصولاتش از جمله SD-WAN، DNA Center، TelePresence، StarOS، RV router، Prime Service Catalog و Meeting Server را منتشر کرد.
طبق گفته سیسکو، محصول DNA Center (مرکز معماری شبکه دیجیتال) این شرکت، تحت‌تاثیر یک آسیب‌پذیری بحرانی قرار دارد که به یک مهاجم شبکه، اجازه دور زدن احراز هویت و دسترسی به سرویس های داخلی بحرانی را می‌دهد.
رابط کاربری خط فرمان (CLI) در محصول SD-WAN هم دارای یک آسیب‌پذیری بحرانی است که می‌تواند توسط یک مهاجم محلی برای افزایش سطح دسترسی به روت و تغییر دلخواه پیکربندی سیستم مورد بهره‌برداری قرار گیرد.
این محصول SD-WAN تحت‌تاثیر یک آسیب‌پذیری در سطح شدید دیگر قرار دارد که امکان افزایش سطح دسترسی از طریق رابط کاربری تحت وب vManage را فراهم می‌کند. این محصول با یک آسیب‌پذیری در سطح شدید دیگر هم روبروست که به مهاجم از راه دور و احراز هویت شده، اجازه اجرای دستورات با سطح دسترسی روت را می‌دهد.
یک آسیب‌پذیری شدت بالا نیز که منجر به ایجاد شرایط منع سرویس می‌شود، در سیستم‌عامل StarOS و چندین RV router کشف شده است که می‌تواند بدون احراز هویت از راه دور مورد بهره‌برداری قرار گیرد.
دیگر آسیب‌پذیری‌های شدید که در هفته جاری توسط سیسکو رفع شده‌اند، عبارتند از یک آسیب‌پذیریCSRF در نرم‌افزار Prime Service Catalog و یک آسیب‌پذیری تزریق دستور در Meeting Server و نرم‌افزار TelePresence.
سیسکو همچنین بیش از دوازده آسیب‌پذیری در سطح متوسط را در سرویس‌های نرم‌افزاری گسترده، RV router ، Prime Service Catalog ، Prime Infrastructure Virtual Domain ، Integrated Management Controller ، Email Security Appliance ، Security Manager و Enterprise Chat and Email رفع کرده است.
طبق گفته سیسکو، تابحال هیچ شواهدی از بهره‌برداری مخرب از این آسیب‌پذیری‌ها ارائه نشده است زیرا بسیاری از این حفره‌های امنیتی توسط خود سیسکو در حین آزمایشات امنیتی داخلی کشف شده است.

4 تیر 1398 برچسب‌ها: اخبار
انتشار وصله آسیب‌پذیری بحرانی نرم‌افزار IOS XE سیسکو، که به هکرها اجازه اجرای حملات CSRF را می‌دهد.

دو روز پیش، #‫سیسکو وصله #‫آسیب‌پذیری بحرانی موجود در رابط کاربری تحت وب نرم‌افزار IOS XE خود را منتشر کرد. این آسیب‌پذیری می‌تواند به مهاجم احراز هویت نشده و از راه دور اجازه اجرای حملات CSRF روی سیستم آسیب‌پذیر را بدهد.
این آسیب‌پذیری ناشی از عدم اعتبارسنجی در رابط کاربری تحت وب است و به مهاجم اجازه می‌دهد که آن را با متقاعد کردن کاربر فعلی به دنبال کردن یک لینک مخرب، اکسپلویت کند. بهره‌برداری موفق از این آسیب‌پذیری، به مهاجم اجازه اجرای کد دلخواه را با سطح دسترسی کاربر آسیب‌پذیر می‌دهد.
اگر کاربر آسیب‌پذیر دارای سطح دسترسی مدیریتی باشد، مهاجم می‌تواند دستورات را اجرا کند، دستگاه را بارگذاری مجدد کند و همچنین پیکربندی دستگاه آسیب‌پذیر را تغییر دهد.
این آسیب‌پذیری در حین آزمایش امنیتی داخلی شناسایی شد و می‌توان آن را با شناسه CVE-2019-1904 دنبال کرد.
تیم امنیتی محصولات سیسکو (PSIRT) از وجود کد اکسپلویت این آسیب‌پذیری آگاه است، اما تابحال هیچ گزارشی از عمومی شدن این کد اکسپلویت ارائه نشده است.
مدیران می‌توانند نسخه نرم‌افزار IOS XE سیسکو بر روی دستگاه خود را با اجرای دستور زیر تشخیص دهند.
ios-xe-device# show version
سیسکو تایید می‌کند که تابحال هیچ راه‌حلی برای رفع این موضوع ارائه نشده است و توصیه می‌شود که برای از بین بردن بردار حمله تا زمانی که سیستم آسیب‌پذیر به‌روزرسانی می‌شود، ویژگی HTTP Server غیر فعال شود.
مدیران می‌توانند ویژگی HTTP Server خود را با استفاده از دستور no ip http server یا no ip http secure-server در حالت پیکربندی جهانی غیرفعال کنند.

2 تیر 1398 برچسب‌ها: اخبار
آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در VLC Media Player

#‫آسیب‌پذیری‌های چندگانه‌ای در #‫VLC_Media_Player شناسایی شده است که شدید‌ترین آن می‌تواند موجب اجرای کد دلخواه شود. VLC یک پخش‌کننده محتواهای چندرسانه‌ای است. بهره‌برداری موفق از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب اجرای کد دلخواه در محتوای نرم‌افزار آسیب‌پذیر شود. بسته به مجوزهای مربوط به این نرم‌افزار، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. اگر این نرم‌افزار به گونه‌ای پیکربندی شده‌ باشد که سطح دسترسی کاربری کمتری در سیستم داشته باشد، می‌تواند کمتر از نرم‌افزارهایی که با دسترسی مدیریتی کار می‌کنند، آسیب‌پذیر باشند. بهره‌برداری ناموفق می‌تواند منجر به اجرای شرایط منع سرویس شود.

تهدید امنیتی:
در حال حاضر هیچ گزارشی مبنی بر سوء استفاده از این آسیب‌پذیری‌ها در دنیای بیرون ارائه نشده است.

سیستم‌های تحت‌تاثیر این آسیب‌پذیری‌ها:
• VLC Media Player، نسخه‌‌های تا قبل از 3.0.7

ریسک‌پذیری و مخاطره:
دولتی :
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

کسب و کار و تجارت :
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

کاربران خانگی :
• کم

توصیه ها:
توصیه می‌شود که اقدامات زیر انجام شود:
• بلافاصله پس از آزمایش مناسب، وصله مناسب ارائه‌شده توسط VLC به سیستم‌های آسیب‌پذیر اعمال شود.
• برای کاهش اثر حملات موفقیت‌آمیز، همه‌ی نرم‌افزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید.
• تذکر به کاربران برای بازدید نکردن از وب‌سایت‌های با منبع نامعتبر و همچنین دنبال نکردن لینک‌های ناشناس.
• اطلاع‌رسانی و آموزش کاربران در مورد تهدیدات ناشی از لینک‌های ابرمتن موجود در ایمیل‌ها یا ضمیمه‌ها مخصوصاً از منابع نامعتبر و ناشناس.
• اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.

منابع:
REFERENCES:
VLC:
http://www.videolan.org/
CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5439

2 تیر 1398 برچسب‌ها: اخبار
آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در Mozilla Thunderbird

#‫آسیب‌پذیری‌های چندگانه‌ای در #‫Mozilla_Thunderbird شناسایی شده است که شدید‌ترین آن می‌تواند موجب اجرای کد دلخواه شود. Mozilla Thunderbird یک سرویس ایمیل است. بهره‌برداری موفق از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب به دست گرفتن کنترل سیستم آسیب‌پذیر توسط مهاجمان شود و بسته به مجوزهای مربوط به این برنامه، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. کاربرانی که حساب‌های آنها به گونه‌ای پیکربندی شده‌ است که سطح دسترسی کاربری کمتری در سیستم داشته باشند، می‌توانند کمتر از کسانی که با حقوق کاربری مدیریتی کار می‌کنند، آسیب‌پذیر باشند.
تهدید امنیتی:
در حال حاضر هیچ گزارشی مبنی بر سوء استفاده از این آسیب‌پذیری‌ها در دنیای بیرون ارائه نشده است.
سیستم‌های تحت‌تاثیر این آسیب‌پذیری‌ها:
• سرویس Mozilla Thunderbird، نسخه‌ 60.7.1 و قبل از آن

ریسک‌پذیری و مخاطره:
دولتی :
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

کسب و کار و تجارت :
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط


جزئیات این آسیب‌پذیری‌ها به شرح زیر است:
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به سرریز بافر heap در parser_get_next_char می‌شود. CVE-2019-11703
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به سرریز بافر heap در icalmemory_strdup_and_dequote می‌شود. CVE-2019-11704
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به سرریز بافر پشته در icalmemory_strdup_and_dequote می‌شود. CVE-2019-11705
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به type confusion در icaltimezone_get_vtimezone_properties می‌شود. CVE-2019-11706

بهره‌برداری موفق از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب به دست گرفتن کنترل سیستم آسیب‌پذیر توسط مهاجمان شود و بسته به مجوزهای مربوط به این برنامه، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. کاربرانی که حساب‌های آنها به گونه‌ای پیکربندی شده‌ است که سطح دسترسی کاربری کمتری در سیستم داشته باشند، می‌توانند کمتر از کسانی که با حقوق کاربری مدیریتی کار می‌کنند، آسیب‌پذیر باشند.
توصیه ها:
توصیه می‌شود که اقدامات زیر انجام شود:
• بلافاصله پس از آزمایش مناسب، وصله مناسب ارائه‌شده توسط موزیلا به سیستم‌های آسیب‌پذیر اعمال شود.
• برای کاهش اثر حملات موفقیت‌آمیز، همه‌ی نرم‌افزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید.
• تذکر به کاربران برای بازدید نکردن از وب‌سایت‌های با منبع نامعتبر و همچنین دنبال نکردن لینک‌های ناشناس.
• اطلاع‌رسانی و آموزش کاربران در مورد تهدیدات ناشی از لینک‌های ابرمتن موجود در ایمیل‌ها یا ضمیمه‌ها مخصوصاً از منابع نامعتبر و ناشناس.
• اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.

منابع:
Mozilla:
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/
CVE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11703
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11704
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11705
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11706

2 تیر 1398 برچسب‌ها: اخبار
آسیب‌پذیری‌های چندگانه اجرای کد از راه دور در Oracle WebLogic

یک #‫آسیب‌پذیری‌ در #‫Oracle_WebLogic شناسایی شده است که می‌تواند منجر به اجرای کد دلخواه شود. این آسیب‌پذیری را می‌توان با شناسه CVE-2019-2729 دنبال کرد و دارای امتیاز پایه 9.8 از CVSS می‌باشد. این آسیب‌پذیری در کامپوننت XMLDecoder از WebLogic وجود دارد که می‌تواند منجر به deserialization کد مخرب شود. مهاجم احراز هویت شده می‌تواند از طریق ارسال درخواست‌های مخرب به نرم‌افزار آسیب‌پذیر، این آسیب‌پذیری را مورد بهره‌برداری قرار دهد و بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور با سطح دسترسی ارتقا یافته شود.
تهدید امنیتی:
گزارشاتی مبنی بر بهره‌برداری فعالانه از این آسیب‌پذیری در دنیای بیرون ارائه شده است.
سیستم‌های تحت‌تاثیر این آسیب‌پذیری‌ها:
• نسخه‌های 10.3.6.0.0 و 12.1.3.0.0 و 12.2.1.3.0 از Oracle WebLogic
ریسک‌پذیری و مخاطره:
دولتی :
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : زیاد

کسب و کار و تجارت :
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : زیاد

توصیه ها:
توصیه می‌شود که اقدامات زیر انجام شود:
• بلافاصله پس از آزمایش مناسب، وصله ارائه‌شده توسط اوراکل را به سیستم‌های آسیب‌پذیر اعمال کنید.
• اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.
• قبل از اعمال وصله، اطمینان حاصل کنید که هیچ تغییرات سیستمی غیرمجازی انجام نشده است.
• سیستم‌های تشخیص نفوذ را برای هر نشانه‌ای از فعالیت‌های غیرعادی، بررسی کنید.
• به جز موارد ضروری، دسترسی محصولات آسیب‌پذیر به شبکه‌های خارجی را محدود کنید.

منابع:
Medium:
https://medium.com/@knownsec404team/knownsec-404-team-alert-again-cve-2019-2725-patch-bypassed-32a6a7b7ca15
Oracle:
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

2 تیر 1398 برچسب‌ها: اخبار
آسیب‌پذیری بحرانی روز صفرم اجرای کد از راه دور در دستگاه‌های تقویت‌کننده وای‌فای TP-Link

محققان یک #‫آسیب‌پذیری بحرانی روز صفرم در تقویت‌کننده‌های وای‌فای #‫TP-Link کشف کرده‌اند که به مهاجمان اجازه کنترل کامل دستگاه و اجرای دستورات با سطح دسترسی کاربر را می‌دهد.
این آسیب‌پذیری را می‌توان با شناسه CVE-2019-7406 دنبال کرد و روی مدل‌های زیر تاثیرگذار است:
• RE650
• RE350
• RE365
• RE500
مانند دیگر روترها، این تقویت‌کننده روی معماری MIPS هم عمل می‌کند و مهاجمان می‌توانند از طریق ارسال یک درخواست HTTP مخرب بدون نیاز به لاگین و احراز هویت در تقویت‌کننده وای‌فای، از این آسیب‌پذیری بهره‌برداری کنند.
تنها مشکل موجود برای مهاجم، راه‌اندازی شبکه برای برقراری ارتباط با تقویت‌کننده وای‌فای است که اگر کسی در حال حاضر به شبکه هدف متصل باشد، مهاجمان می‌توانند به راحتی به دستگاه هدف دسترسی پیدا کنند.
محققان IBM X-Force با موفقیت دستورات shell را در تقویت‌کننده وای‌فای RE365 اجرا کردند و همچنین پارامترهای درخواست را از دستگاه آسیب‌پذیر مشاهده کردند. این پارامترها شامل فیلد مخصوص user agent هستند که از مرورگر برای دسترسی به تقویت‌کننده استفاده می‌کند.
با ایجاد ارتباط از طریق پورت 4444، مهاجمان قادر به دستیابی کامل به سطح روت بدون هیچگونه افزایش سطح دسترسی در تقویت‌کننده می‌شوند و تمام فرآیندهای در حال اجرا به عنوان روت اجرا می‌شوند.
این آسیب‌پذیری از کاربران خانگی گرفته تا کاربران شرکت‌های سازمانی را تحت‌تاثیر قرار می‌دهد و به مهاجمان اجازه ارسال یک درخواست مخرب به تقویت‌کننده را می‌دهد که منجر به دسترسی احراز هویت نشده به مهاجم می‌شود.
TP-Link وصله‌ این آسیب‌پذیری اجرای کد از راه دور را برای مدل‌های آسیب‌پذیر منتشر کرده است و همچنین اعلام کرد هیچ مدل دیگری از محصولاتش تحت‌تاثیر این آسیب‌پذیری قرار ندارد.
به کاربران توصیه می‌شود که سیستم‌عامل مدل‌های RE365، RE500، RE650 و RE350 را بلافاصله به‌روزرسانی کنند.

2 تیر 1398 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

آسیب پذیری CVE-2019-11477 در کرنل سیستم های عامل‌ Linux و BSD

آسیب پذیری CVE-2019-11477 در کرنل سیستمهای عامل Linux و BSD در زیرسامانه شبکه کشف شده است. این ضعف امنیتی، ناشی از پردازش نادرست مقدار متغیر MSS و Selective ACK می باشد. آسیب پذیری بدین گونه است که مهاجم می تواند با ارسال ترتیبی خاص از بسته های شبکه (TCP) باعث کرش (panic) هسته سیستم عامل شود. ضعف امنیتی این آسیب پذیری از نوع Integer Overflow است.

برای رفع این آسیب‌پذیری، بهترین راه حل بروز رسانی کرنل سیستم عامل است.

آسیب پذیری CVE-2019-11479 نیز با استفاده از همین ضعف، برای مهاجم امکان اجرای یک حمله Resource Consumption را فراهم می سازد. بدین صورت که می توان سیستم عامل را مجبور کرد تا بسته پاسخ را به قطعات 8 بایتی بشکند. با درنظر گرفتن سربار سرایند سایر پروتکل های زیرین ( مانند IP و Ethernet ) می توان پهنای باند شبکه و همچنین ظرفیت CPU را مورد سواستفاده قرار داد.

جزییات بیشتر در منابع زیر در دسترس است:

https://www.openwall.com/lists/oss-security/2019/06/17/5

https://www.tenable.com/blog/sack-panic-linux-and-freebsd-kernels-vulnerable-to-remote-denial-of-service-vulnerabilities-cve

30 خرداد 1398 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها


آسیب پذیری حیاتی CVE-2019-9670 در سرویس دهنده ایمیل Zimbra

نسخه متن‌باز سرویس‌دهنده ایمیل زیمبرا یکی از سرویس‌دهنده‌های ایمیل پرکاربرد در کشور است که توسط سازمان‌ها و شرکت‌های مختلف مورد استفاده قرار می‌گیرد. آسیب پذیری حیاتی به شناسه‌ی CVE-2019-9670 در این سرویس دهنده به تازگی منتشر شده است. این آسیب پذیری خطرناک که در نسخه های 8.5 الی 8.7.11 وجود دارد، شرایطی را برای مهاجم فراهمی می سازد تا بتواند بدون هیچ گونه دسترسی قبلی و احراز هویت به سرور ایمیل حمله کرده و کنترل آن را بدست آورد. ضعف این آسیب پذیری از نوع XXE با شماره CWE-611 میباشد.

اخیرا حمله گسترده ای بر روی این آسیب پذیری با نام zmcat صورت گرفته است. برای بررسی آلوده بودن سرویس دهنده ایمیل می بایست لاگ های mailbox.log و nginx.access.log مورد بررسی قرار گیرد. درصورتی که حمله موفق صورت گرفته باشد، مهاجم به طریقی فایل آلوده‌ای (payload) با پسوند JSP را برای سرور ارسال کرده که با اجرا شدن آن دسترسی مهاجم برقرار می شود.

ترتیب و نوع درخواست هایی که در حملات رایج به این آسیب پذیری صورت گرفته و عنوان فایل مخرب (payload) که توسط مهاجم ارسال شده در تصویر قابل مشاهده است.

درنظر داشته باشید که چنین ردپایی فقط مربوط به یک گروه حمله شناخته شده با سواستفاده از این آسیب‌پذیری است و در صورت عدم مشاهده آن، نمی توان اظهارنظر قطعی درباره آلوده نبودن سرور داشت. جهت بررسی احتمال آلودگی سرور می توانید از راهکارهای کلی ارایه شده در لینک زیر نیز استفاده نمایید:

https://cert.ir/news/12685

راهکار رفع این آسیب‌پذیری بروز رسانی به آخرین نسخه (8.8.12) و یا دریافت وصله ارائه شده برای نسخه فعلی است.

جزییات و اطلاعات بیشتر در خصوص این آسیب‌پذیری و سواستفاده از آن در منابع زیر ارائه شده است:

https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9670

https://forums.zimbra.org/viewtopic.php?f=15&t=65932ایمیل Zimbra

نسخه متن‌باز سرویس‌دهنده ایمیل زیمبرا یکی از سرویس‌دهنده‌های ایمیل پرکاربرد در کشور است که توسط سازمان‌ها و شرکت‌های مختلف مورد استفاده قرار می‌گیرد. آسیب پذیری حیاتی به شناسه‌ی CVE-2019-9670 در این سرویس دهنده به تازگی منتشر شده است. این آسیب پذیری خطرناک که در نسخه های 8.5 الی 8.7.11 وجود دارد، شرایطی را برای مهاجم فراهمی می سازد تا بتواند بدون هیچ گونه دسترسی قبلی و احراز هویت به سرور ایمیل حمله کرده و کنترل آن را بدست آورد. ضعف این آسیب پذیری از نوع XXE با شماره CWE-611 میباشد.

اخیرا حمله گسترده ای بر روی این آسیب پذیری با نام zmcat صورت گرفته است. برای بررسی آلوده بودن سرویس دهنده ایمیل می بایست لاگ های mailbox.log و nginx.access.log مورد بررسی قرار گیرد. درصورتی که حمله موفق صورت گرفته باشد، مهاجم به طریقی فایل آلوده‌ای (payload) با پسوند JSP را برای سرور ارسال کرده که با اجرا شدن آن دسترسی مهاجم برقرار می شود.

ترتیب و نوع درخواست هایی که در حملات رایج به این آسیب پذیری صورت گرفته و عنوان فایل مخرب (payload) که توسط مهاجم ارسال شده در تصویر قابل مشاهده است.

درنظر داشته باشید که چنین ردپایی فقط مربوط به یک گروه حمله شناخته شده با سواستفاده از این آسیب‌پذیری است و در صورت عدم مشاهده آن، نمی توان اظهارنظر قطعی درباره آلوده نبودن سرور داشت. جهت بررسی احتمال آلودگی سرور می توانید از راهکارهای کلی ارایه شده در لینک زیر نیز استفاده نمایید:

https://cert.ir/news/12685

راهکار رفع این آسیب‌پذیری بروز رسانی به آخرین نسخه (8.8.12) و یا دریافت وصله ارائه شده برای نسخه فعلی است.

جزییات و اطلاعات بیشتر در خصوص این آسیب‌پذیری و سواستفاده از آن در منابع زیر ارائه شده است:

https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9670

https://forums.zimbra.org/viewtopic.php?f=15&t=65932

30 خرداد 1398 برچسب‌ها: اخبار
صفحات: « 1 2 3 4 5 ... » »»