اخبار
شرکت Atlassian از وجود یک #آسیبپذیری بحرانی در نسخهی 6.3.0 محصولات Jira Data Center، Jira Core Data Center، Jira Software Data Center و Jira Service Management Data Center خبر داده است. این آسیبپذیری که از وجود امکان دسترسی نامحدود به پورتهای Ehcache RM ناشی میشود، امکان اجرای کد از راه دور بر روی سیستم آسیبپذیر را برای مهاجم فراهم میکند. محصولات آسیبپذیر آورده شده در جدول زیر سرویس Ehcache RMI را در پورتهای 40001 و احتمالاً 40011 اجرا کرده و در معرض دسترس مهاجمان قرار میدهند. مهاجمان میتوانند از راه دور به این پورتها متصل شده و به اجرای کد دلخواه بر روی محصولات آسیبپذیر Jira بپردازند.
با توجه به اینکهAtlassian از این آسیبپذیری به عنوان آسیبپذیری بحرانی یاد کرده است، توصیه میشود در اسرع وقت نسبت به بهروزرسانی محصولات آسیبپذیر اقدام کنید؛ همچنین توصیه میشود دسترسی به پورتهای Ehcache RMI (40001 و احتمالاً 40011) محدود شود.
در صورت عدم امکان بهروزرسانی، دسترسی به پورتهای گفته شده را با استفاده از فایروال یا فناوریهای مشابه محدود کنید.
برای اطلاع از جزییات نسخههای آسیبپذیر به هشدار منتشر شده توسطAtlassian به آدرس زیر مراجعه کنید:
وجود چندین #آسیبپذیری در سرویسدهنده WebLogic Oracle که به مهاجم احراز هویتنشده این امکان را میدهد تا با دسترسی به شبکه قربانی از این آسیبپذیریها سوءاستفاده نماید. بهره برداری موفق از این آسیبپذیری ها به مهاجم این امکان را میدهد تا کنترل سرویس دهنده WebLogic را در دست گرفته و به اطلاعات موجود در سرویسدهنده دسترسی کامل داشته باشد. دسترسی مهاجم به شبکه قربانی میتواند از طریق سه پروتکل ارتباطی http, T3, IIOP صورت پذیرد. بحرانی ترین آسیب پذیری انتشار یافته با شناسه CVE-2019-2729 شناخته شده است که به نفوذگر راه دور این امکان را می دهد تا بدون احراز هویت از این آسیب پذیری سوءاستفاده نماید.
لیست آسیب پذیری ها به همراه نسخه آسیب پذیر و شدت خطر
به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا سرویس دهنده Oracle WebLogic را توسط وصله های امنیتی منتشر شده وصله نموده و سرویس دهنده خود را به آخرین نسخه به روز نمایند.
منبع
گزارشی از 502 مورد خدمت ارائه شده توسط مرکز ماهر در تیر ماه سال 1400 در گرافهای زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخشهای دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.
در تاریخ 24 تیر ماه 1400، woocommerce از وجود یک #آسیبپذیری بحرانی در برخی نسخههای این افزونهی وردپرسی محبوب و پرکاربرد خبر داد. این آسیبپذیری که از نوع تزریق دستور SQL میباشد برای مهاجم احراز هویت نشده امکان اجرای کد بر روی وبسایت فروشگاهی آسیبپذیر را فراهم میکند. افزونههای تحت تاثیر به شرح زیر است:
- نسخههای ۳.۳ تا ۵.۵.۰ افزونه WooCommerce
- نسخههای ۲.۵ تا ۵.۵.۰ افزونهی woocommerce blocks
با توجه به اینکه بهرهبرداری از این آسیبپذیری در برخی حملات محدود و هدفمند مشاهده شده است، به مدیران وبسایتهای وردپرسی اکیداً توصیه میشود، هر چه سریعتر نسبت به بهروزرسانی این افزونه به آخرین نسخه (5.5.1) یا حذف آن اقدام نمایند.
برای اطلاع از جزییات حملات محدود و هدفمند مورد بحث و ملاحضات امنیتی بیشتر به پیوند زیر مراجعه کنید:
مراجع
شرکت Juniper Networks به تازگی یک #آسیبپذیری بحرانی با شدت 9.8 را در محصول سرور AAA خود یعنی SBR Carrier وصله کرده است. بهرهبرداری از این آسیبپذیری امکان اجرای کد از راه دور بر روی سیستم آسیبپذیر را برای مهاجم فراهم میکند.
تجهیزات SBR Carrier که تنظیمات احرازهویت EAP (Extensible Authentication Protocol) در آنها فعال باشد و EAP Logging و TraceLevel در آنها به صورت زیر پیکربندی شده باشد، تحت تاثیر این آسیبپذیری هستند:
هیچ راهکار کاهشی/موقتی مربوط به این آسیبپذیری منتشر نشده است؛ لذا با توجه به شدت بالای این آسیبپذیری، در اسرع وقت نسبت به بهروزرسانی سیستمهای تحت تاثیر اقدام نمایید.
مرجع
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11180&cat=SIRT_1&actp=LIST
شرکت SonicWall در خصوص حملات فعال #باج_افزار ی بر روی تجهیزات دسترسی از راه دور زیر که وصله نشده یا از ثابتافزار نسخههای 8.x که دیگر پشتیبانی نمیشوند (EOL)، استفاده میکنند، هشدار داد:
- Secure Mobile Access (SMA) 100 series
- Secure Remote Access (SRA)
حملات باجافزاری با بهرهبرداری از یک #آسیبپذیری شناختهشده که در اوایل سال 2021 در نسخههای جدیدتر توسط SonicWall وصله شده بود، انجام میشود. سازمانهایی که از تجهیزات زیر با ثابتافزار نسخههای 8.x استفاده میکنند باید نسخهی ثابتافزار را به نسخههای 9.x یا 10.x ارتقا داده و یا بهطور کلی اتصال آن تجهیز را از اینترنت قطع نمایند:
- SRA 4600/1600 (EOL 2019)
- قطع سریع اتصال تجهیز
- ریست کردن رمزهای عبور
- SRA 4200/1200 (EOL 2016)
- قطع سریع اتصال تجهیز
- ریست کردن رمزهای عبور
- SSL-VPN 200/2000/400 (EOL 2013/2014)
- قطع سریع اتصال تجهیز
- ریست کردن رمزهای عبور
- SMA 400/200 (این تجهیز همچنان در حالت Retirement به صورت محدود پیشتیبانی میشود)
- بهروزرسانی سریع به 10.2.0.7-34 یا 9.0.0.10
- ریست کردن رمزهای عبور
- فعال نمودن احراز هویت چند عاملی (MFA)
برای اطلاعات بیشتر به صفحه هشدار منتشر شده توسط Sonicwall به آدرس زیر مراجعه کنید:
#مایکروسافت در بهروزرسانیهایی ماه جولای برای 117 مورد #آسیبپذیری در محصولات خود وصله امنیتی منتشر کرده است؛ از جمله 13 آسیبپذیری بحرانی و 9 آسیبپذیری روز صفرم. توصیه میشود هرچه سریعتر نسبت به بهروزرسانی محصولات آسیبپذیر اقدام شود. امکان دریافت بهروزرسانی برای کاربران ویندوز با استفاده از بخش windows update در مسیر زیر فراهم است:
- Common Internet File System
- Dynamics Business Central Control
- Microsoft Bing
- Microsoft Dynamics
- Microsoft Exchange Server
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Scripting Engine
- Microsoft Windows Codecs Library
- Microsoft Windows DNS
- Microsoft Windows Media Foundation
- OpenEnclave
- Power BI
- Role: DNS Server
- Role: Hyper-V
- Visual Studio Code
- Visual Studio Code - .NET Runtime
- Visual Studio Code - Maven for Java Extension
- Windows Active Directory
- Windows Address Book
- Windows AF_UNIX Socket Provider
- Windows AppContainer
- Windows AppX Deployment Extensions
- Windows Authenticode
- Windows Cloud Files Mini Filter Driver
- Windows Console Driver
- Windows Defender
- Windows Desktop Bridge
- Windows Event Tracing
- Windows File History Service
- Windows Hello
- Windows HTML Platform
- Windows Installer
- Windows Kernel
- Windows Key Distribution Center
- Windows Local Security Authority Subsystem Service
- Windows MSHTML Platform
- Windows Partition Management Driver
- Windows PFX Encryption
- Windows Print Spooler Components
- Windows Projected File System
- Windows Remote Access Connection Manager
- Windows Remote Assistance
- Windows Secure Kernel Mode
- Windows Security Account Manager
- Windows Shell
- Windows SMB
- Windows Storage Spaces Controller
- Windows TCP/IP
- Windows Win32K
جزییات آسیبپذیریها
- CVE-2021-33771: آسیبپذیری ارتقاء امتیازات در هسته ویندوز
- CVE-2021-34448: آسیبپذیری خرابی حافظه در موتور Scripting
- CVE-2021-31979: آسیبپذیری ارتقاء امتیازات در هسته ویندوز
- CVE-2021-34527: آسیبپذیری اجرای کد از راه دور در سرویس Print Spooler ویندوز (PrintNightmare).
- CVE-2021-34492: آسیبپذیری جعل گواهینامه ویندوز
- CVE-2021-34523: آسیبپذیری ارتقای امتیاز در سرور Exchange
- CVE-2021-34473: آسیبپذیری اجرای کد از راه دور در سرور Exchange
- CVE-2021-33779: آسیبپذیری بیاثر کردن سازوکار امنیتی ADFS ویندوز
- CVE-2021-33781: آسیبپذیری بیاثر کردن سازوکار امنیتی در Active Directory
جهت اطلاع از سایر محصولات آسیبپذیر و جزییات فنی این آسیبپذیریها به پیوند زیر مراجعه نمایید:
شرکتSolarWinds برای یک #آسیبپذیری روز صفرم موجود در دو محصول Serv-U خود وصلهی امنیتی منتشر کرده است. به گفتهی این شرکت در حال حاضر یک گروه تهدید در حال بهرهبرداری فعال از آسیبپذیری مذکور میباشد. لازم به ذکر است که اگر اتصال مبتنی برSSH در دو محصول مذکور فعال نباشد، تحت تاثیر این آسیبپذیری نخواهند بود.
در صورت بهرهبرداری موفق از این آسیبپذیری، مهاجم قادر است به اجرای کد از راه دور بر روی سیستم آسیبپذیر بپردازد؛ پس از آن مهاجم قادر است به نصب برنامه، مشاهده، تغییر، حذف اطلاعات و یا اجرای برنامههای نصب شده بر روی سیستم آسیبپذیر بپردازد؛ با توجه به مخاطرات ناشی از بهرهبرداری از این آسیبپذیری توصیه میشود هرچه سریعتر نسبت به بهروزرسانی محصولات آسیبپذیر آورده شده در جدول بالا اقدام کنید. اعمال وصلهها (نسخهی 15.2.3 hotfix (HF) 2)، بهطور کامل آسیبپذیری را رفع میکند. در صورت عدم امکان نصب وصلهی امنیتی نسبت به غیرفعال کردن سرویس SSH در محیط Serv-U اقدام نمایید.
مرجع
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
کنترل دسترسی به پیکربندی سرویسهای سرور HP و بازبینی دورهای سطح دسترسیهای سطح ادمین اکتیودایرکتوری و مرور لاگهای دسترسی به ILO سرورها میتواند نقش بسزایی در تشخیص و جلوگیری از حملات اخیر داشته باشد. جهت مطالعه بیشتر به اینجا مراجعه نمایید.
بررسی سه #آسیبپذیری out HP-Integerated lights با شناسههای CVE-2017-12542، CVE-2018-7105 ،CVE-2018-7078 در سطح کشور نشان میدهد، برخی از شبکههای کشور در برابر این ضعفها به درستی محافظت نشدهاند. پیکربندی نادرست، عدم بهروزرسانی به موقع و عدم اعمال سیاستهای صحیح امنیتی در هنگام استفاده ازHP Integrated Lights-Out از دلایل اصلی این ضعف در شبکههای کشور میباشد. جدول زیر مشخصات این سه آسیبپذیری را نمایش میدهد.
به کاربران توصیه میشود:
- اگر دسترسی به این سرویس از طریق اینترنت ضروری نیست، دسترسی به آن را محدود به شبکه داخلی خود نمایند.
- با بهروزرسانی محصولات خود مطمئن شوند که تحت تاثیر این سه آسیبپذیری قرار ندارند.
- با توجه به امکان نفوذ به این سرویس توسط گرههای الوده شده شبکه داخلی، سیاستهای امنیتی سخت گیرانهای از جمله vlanبندی مجزا برای دسترسی به این سرویس از طریق شبکه داخلی اکیدا توصیه میشود.
- با تنظیم تجهیزات امنیتی و رویدادنگاری حساسیت ویژه نسبت به تلاش برای دسترسی به پورتهای ILO یا SSH سرورها در نظر گرفته شود.
برای مطالعه بیشتر اینجاکلیک نمایید.
