فا

‫ اخبار

صفحات: 1 2 3 4 5 ... » »»
نتایج جستجو براساس برچسب: «هشدارها و راهنمایی امنیتی»
انتشار به‌روزرسانی‌های امنیتی برای چندین محصول VMware

#VMware سه آسیب‌پذیری جدی در محصولات خود از جمله یک نقص مهم در Workstation و Fusion را که می‌تواند برای اجرای کد دلخواه از سیستم‌عامل مهمان بر روی میزبان مورد سوءاستفاده قرار بگیرد، برطرف کرد.
اولین نقص مهم، با شناسه‌ی "CVE-2020-3947" ردیابی می‌شود و در نتیجه‌ی یک اشکال سوءاستفاده پس از آزادسازی در مؤلفه‌ی "vmnetdhcp" ایجاد می‌شود.
سوءاستفاده‌ی موفقیت‌آمیز از این مسئله ممکن است منجر به اجرای کد بر روی میزبان از مهمان شود یا ممکن است به مهاجمان اجازه دهد تا شرایط انکار سرویس "vmnetdhcp" را در دستگاه میزبان، ایجاد کنند.
یکی دیگر از آسیب‌پذیری‌های وصله‌شده، نقصی با شناسه‌ی "CVE-2020-3948" است. این نقص یک مسئله با شدت بالا است که به مهاجمین محلی اجازه‌ی دسترسی به یک ماشین مجازی مهمان لینوکس (VM) با ابزارهای VMware نصب شده، می‌دهد تا بتوانند امتیازات خود را افزایش دهند.
VMهای مهمان لینوکس که در VMware Workstation و Fusion کار می‌کنند، دارای آسیب‌پذیری محلی هستند که به دلیل مجوز پرونده در Cortado Thinprint ، افزایش یافته است.
سوءاستفاده از این نقص فقط درصورتی امکان‌پذیر است که چاپ مجازی در مهمان VM فعال شود (چاپ مجازی به‌طور پیش فرض در Workstation و Fusion فعال نمی‌شود).
هر دو ضعف بر Workstation نسخه‌ی 15.x بر روی هر سیستم‌عامل و Fusion نسخه‌ی x.11 در macOS تأثیر می‌گذارند. وصله‌ها به ترتیب شامل نسخه‌های 15.5.2 و 11.5.2 هستند.
آخرین آسیب‌پذیری که به‌عنوان "CVE-2019-5543" ردیابی شده است، یک مسئله‌ی افزایش امتیاز با شدت بالا است که بر Workstation، VMware Horizon Client و کنسول از راه دور (VMRC) در ویندوز تأثیر می‌گذارد.
این حفره‌ی امنیتی به یک مهاجم محلی اجازه می‌دهد تا مانند هر کاربری دستوراتی را اجرا کند. دلیل وجود این آسیب‌پذیری این است که پوشه‌ی حاوی پرونده‌های پیکربندی‌شده برای سرویس داوری USB VMware توسط همه‌ی کاربران قابل نوشتن است.
وصله‌های این نقص در نسخه‌ی 15.5.2 برای Workstation، 5.3.0 برای VMware Horizon Client و نسخه‌ی 11.0.0 در VMRC برای ویندوز گنجانده شده‌اند.
به کاربران و مدیران توصیه می‌شود با توجه به محصول مورد استفاده‌ی خود، به‌روزرسانی‌های لازم را اعمال کنند.

12 ساعت قبل برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

حملات #LIV نوعی جدید از حملات با شناسه CVE-2020-0551 است که از آسیب‌پذیری ریزمعماری موجود در پردازنده‌های مدرن برای تزریق داده‌های مهاجم به برنامه قربانی و سرقت کلیدها و اطلاعات حساس از Intel SGX که محیطی امن برای داده‌های شخصی در پردازنده‌های اینتل محسوب می‌شود، بهره‌برداری می‌کند. این حمله همه‌ی حملات پیشین استخراج داده مانند Meltdown، Foreshadow، ZombieLoad، RIDL و Fallout را متحول کرده و همه‌ی راه‌های مقابله با این حملات را شکست داده و بی‌اثر می‌کند. در این حملات شیوه‌ی معکوس روش معمول «نفوذ و استخراج داده» از قربانی و ارسال آن به مهاجم اتخاذ شده است و مهاجم داده‌ی خود را از طریق بافرهای مخفی پردازنده به برنامه‌ی قربانی ترزیق (قاچاق) کرده و اجرای آن را برای کشف اطلاعات حساس مانند رمزعبور یا اثرانگشت قربانی hijack می‌کند.
واضح است که مقابله با حملات LVI و کاهش مخاطرات آن نسبت به دیگر حملات مذکور دشوارتر است چرا که این حمله هر نوع دسترسی به حافظه را تحت تاثیر قرار می‌دهد و مهاجم می‌تواند با hijack جریان داده، مسیر اجرای برنامه را به گونه‌ای تغییر دهد که مکانیزم‌های دفاعی را دور بزند. برخلاف دیگر حملات از نوع Meltdown، در حال حاضر مخاطرات حمله‌ی LVI در پردازنده‌های فعلی را نمی‌توان با الزام کردن وصله‌های نرم‌افزاری پرهزینه که محاسبات در SGX اینتل را دو تا 19 برابر کندتر خواهد کرد، کاهش داد. در این گزارش باتمرکز بر حملات LVI به بررسی حملاتی که از آسیب‌پذیری‌های موجود در پردازنده‌ها بهره‌برداری می‌کنند می‌پردازیم.
1 پیشینه حملات مبتنی بر پردازنده
در سال 2018 حملات Meltdown و Spectre که از آسیب‌پذیری‌های سخت‌افزاری بحرانی در پردازنده‌های مدرن در کامپیوترهای شخصی، دستگاه‌های موبایل و فضای ابری (به طور کلی هر پردازنده‌ی اینتلی که اجرای out-of-order را پیاده‌سازی می‌کند) بهره‌برداری می‌کردند، مشاهده شد. توضیح مختصری در خصوص هر حمله در زیر آمده است:
حمله‌ی Meltdown: این حمله با بهره‌برداری از آسیب‌پذیری‌ CVE-2017-5754 اساسی‌ترین ایزولاسیون بین اپلیکیشن‌های کاربر و سیستم عامل را از بین برده و با ارتقای سطح دسترسی به استخراج داده از بافرهای مخفی پردازنده می‌پردازد؛ درنتیجه به حافظه و به دنبال آن داده‌های محرمانه‌ی‌ سیستم عامل و دیگر برنامه‌ها دسترسی پیدا می‌کند. خوشبختانه وصله‌های امنیتی برای مقابله با این حمله وجود دارد.
حمله‌ی Spectre: این حمله با بهره‌برداری از آسیب‌پذیری‌های CVE-2017-5753 و CVE-2017-5715، ایزولاسیون بین اپلیکشن‌های مختلف را با تزریق دسته‌ای از تصمیمات اشتباه به اپلیکشین‌ها از بین برده و امکان سرقت داده‌های محرمانه این برنامه‌ها را برای مهاجم فراهم می‌کند. اعمال این نوع حملات دشوارتر از حملات Meltdown است اما مقابله با نیز دشوارتر است.
از آنجایی که بهره‌برداری از این دو حمله، هیچ ردی در فایل‌های لاگ معمول به جا نمی‌گذارد به طور کلی نمی‌توان متوجه شد که آیا مهاجم به یک سیستم مشخص حمله کرده است یا خیر.
2 حمله‌ی LVI در چهار گام
حملات LVI (Load Value Injection) ترکیبی از شیوه حمله Spectre از قطعه کدهای «confused deputy» در برنامه‌های قربانی و Meltdown است به طور دقیق‌تر این شیوه شامل استفاده‌ی غیرمجاز از جریان داده‌های تولید شده توسط دستورالعمل‌های معیوب بارگذاری حافظه، برای دور زدن مکانیزم دفاعی و تزریق داده‌های کنترل شده توسط مهاجم به برنامه‌ی موقت در حال اجرای قربانی است. (ترکیب شیوه‌ی نشت داده‌های ریزمعماری Meltdown و قطعه کد سوء استفاده کننده‌ی Spectre)


شکل شماره 1: حمله‌ی LVI در چهار مرحله
شکل بالا خلاصه‌ای از بهره‌برداری از حمله LVI را در چهار مرحله نشان می‌دهد:
1. مهاجم یک بافر مخفی پردازنده را با داده‌ی کنترل شده‌ی A آلوده می‌کند.
2. یک micro-op برای خواندن داده‌ی مورد اطمینان B توسط قربانی بارگذاری می‌شود اما از آنجایی که دستورالعمل به وسیله‌ی قطعه کدهای آلوده تغییر داده شده است، به جای خواندن مقدار A، مقدار B را خوانده و محاسبه می‌کند.
3. به دنبال بارگذاری مقدار اشتباه، مقدار کنترل شده توسط مهاجم به طور موقت به قطعات کد در برنامه‌ی قربانی تزریق می‌شود که می‌تواند منجر به افشای داده‌های محرمانه شود.
4. قبل از شناسایی اشتباه رخ داده توسط پردازنده و برگرداندن عملیات به حالت قبلی (roll back) امکان بازیابی داده‌های محرمانه با تحلیل side-channel وجود دارد.
3 کاهش مخاطرات حمله LVI
پردازنده های آینده با تغییرات سخت‌افزاری مخاطرات حمله LVI را کاهش می‌دهند. برخلاف حملات شبه-Meltdown، به‌روزرسانی میکروکدهای پردازنده برای خالی کردن بافرهای آسیب‌پذیر کافی نیست؛ درعوض در ادامه‌ی تکمیل فرآیند کاهش مخاطرات Spectre، اعمال وصله‌های امنیتی کامپایلر جهت درج صریح موانع که بعد از هر دستورالعمل بارگذاری اشتباه جریان پردازنده را سریال می‌کند، ضروری است. به علاوه با توجه به بارگذاری‌های غیرصریح، دستورالعمل‌های مشخصی مانند x86 ret باید در لیست سیاه قرار بگیرند. اینتل در حال انتشار یک به‌روزرسانی برای Intel SGX SDK جهت به‌روزرسانی اپلیکیشن SGX است.
فهرستی از همه‌ی محصولات اینتل که تحت‌تاثیر این آسیب‌پذیری هستند در لینک زیر آمده است:
https://software.intel.com/security-software-guidance/processors-affected-transient-execution-attack-mitigation-product-cpu-model
در صورت آسیب‌پذیر بودن برای آگاهی از وجود وصله‌ی امنیتی مربوطه از طریق لینک زیر اقدام کنید:


https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00334.html

12 ساعت قبل برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫مایکروسافت آخرین به‌روزرسانی را برای آسیب‌پذیری‌های نرم‌افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. مرکز پاسخگویی امنیتی مایکروسافت (MSRC) تمام گزارش‌های آسیب‌پذیری‌های امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات را به عنوان بخشی از تلاش‌های مداوم برای کمک به مدیریت خطرات امنیتی و کمک به حفاظت از سیستم‌های کاربران فراهم می‌نماید. MSRC همراه با همکاران خود و محققان امنیتی در سراسر جهان برای کمک به پیشگیری از وقایع امنیتی و پیشبرد امنیت مایکروسافت فعالیت می‌کند.

دانلود پیوست

13 ساعت قبل برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
آسیب‌پذیری بحرانی RCE در تجهیزات سیسکو و اجازه اجرای کد دلخواه به مهاجم

#‫آسیب‌پذیری‌های متعدد امنیتی در #‫سیسکو بر روی نرم‌افزار‌های Cisco FXOS، Cisco NX-OS و Cisco UCS Manager به یکی از دلایل عدم تأییداعتبار ورودی، ارسال آرگومان‌های ساختگی به یک‌سری دستورات خاص‌ توسط مهاجم و یا امکان ایجاد سرریز بافر، به مهاجم امکان اجرای کد دلخواه با مجوز‌های دسترسی کاربر فعلی سیستم را می‌دهد.


اخیراً چندین آسیب‌پذیری امنیتی مهم و بحرانی در تجهیزات سیسکو کشف شده است که به مهاجمین اجازه می‌دهد دستورات دلخواه را با همان دسترسی کاربر مجاز اجرا کنند. این آسیب‌پذیری بر روی نرم‌افزار Cisco FXOS، نرم‌افزار Cisco NX-OS و نرم‌افزار Cisco UCS Manager تأثیر می‌گذارد.

Cisco FXOS و UCS Manager – CLI
آسیب‌پذیری در CLI نرم‌افزار Cisco FXOS و نرم‌‍‌افزار Cisco UCS Manager Cisco به یک مهاجم احرازهویت‌شده‌ی محلی اجازه می‌دهد تا دستورات دلخواه را بر روی دستگاه کاربر اجرا کند.
این آسیب‌پذیری که به دلیل عدم تأییداعتبار ورودی است، با بهره‌برداری موفقیت‌آمیز به مهاجم اجازه می‌دهد تا دستورات دلخواه را در سیستم عامل اصلی با سطح مجوز‌های دسترسی حال‌حاضر کاربر، اجرا کند.
سیسکو به‌روزرسانی‌های امنیتی را برای اعلام این آسیب‌پذیری به‌عنوان بخشی از مشاوره‌ی امنیت نرم‌افزاری NX-OS در فوریه 2020، منتشر کرده است.

Cisco FXOS و UCS Manager Software CLI
این آسیب‌پذیری در CLI نرم‌افزار Cisco FXOS و نرم‌افزار Cisco UCS Manager وجود دارد که به یک مهاجم احرازهویت‌‍‌شده‌ی محلی اجازه می‌دهد دستورات دلخواه را اجرا کند.
یک مهاجم می‌تواند با ارسال آرگومان‌های ساختگی به یک‌سری دستورات خاص‌، از این آسیب‌پذیری بهره‌برداری کند که اگر این فرآیند موفقیت‌آمیز باشد به مهاجم این امکان را می‌دهد تا دستورات دلخواهی را در سیستم‌عامل اصلی با مجوز‌های کاربر فعلی، اجرا کند.
سیسکو به‌روزرسانی‌های امنیتی را برای اعلام این آسیب‌پذیری به‌عنوان بخشی از مشاوره‌ی امنیت نرم‌افزاری NX-OS در فوریه 2020، منتشر کرده است.

Cisco FXOS و NX-OS نرم‌افزار - اجرای کد دلخواه
این آسیب‌پذیری به مهاجمی که احزارهویت نشده‌است اجازه می‌دهد تا کد دلخواه را با سطح دسترسی روت اجرا کند یا باعث شرایط منع از سرویس(DoS) شود.
بررسی این آسیب‌پذیری نشان می‌دهد که یک بهره‌برداری موفقیت‌آمیز، مهاجم را قادر به ایجاد سرریز بافر می‌کند و این امر به او اجازه می‌دهد کد دلخواه را با سطح دسترسی روت اجرا کند و یا باعث ایجاد شرایط DoS در دستگاه آسیب‌دیده شود.
سیسکو به‌روزرسانی‌های امنیتی را برای اعلام این آسیب‌پذیری نیز به‌عنوان بخشی از مشاوره‌ی امنیت نرم‌افزاری NX-OS در فوریه 2020، منتشر کرده است.

26 اسفند 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

پشتیبان‌گیری یکی از مهم‌ترین راه‌حل‌های محافظت داده‌ها (حتی شاید مهم‌ترین) در برابر باج افزارها است، اما اگر به‌درستی از این شیوه استفاده نشود، مهاجمین از آن علیه شما استفاده می‌کنند.
اخیراً اپراتورهای DoppelPaymer Ransomware در سایت نشت اطلاعات خود، بدون پرداخت هزینه نرم افزار پشتیبان‌گیری Veeam، نام کاربری ادمین و رمزعبور متعلق به یک قربانی را منتشر کردند.

این امر نه به معنای افشای اطلاعات برای دیگران و حملات بیشتر، بلکه هشداری برای قربانی بود که اپراتورهای باج افزار به شبکه‌ی آن‌ها از جمله نسخه‌‌های پشتیبان آن‌ها، دسترسی کامل دارند.
بعد از دیدن این اطلاعات، با اپراتورهای خانواده‌های DoppelPaymer و Maze Ransomware ارتباط برقرار شد تا چگونگی هدف قرار‌گرفتن پشتیبان‌های قربانی مشخص شود و نتایج بسیار تعجب‌آور بود.

لازم به ذکر است که در این مطلب به نرم‌افزار پشتیبان‌گیری Veeam پرداخته‌شده‌است. نه به این دلیل که نسبت به سایر نرم‌افزارها از امنیت کمتری برخوردار است، بلکه به این دلیل که یکی از محبوب‌ترین محصولات پشتیبان‌گیری است و توسط اپراتورهای باج‌افزار ذکر شده است.

مهاجمین ابتدا از نسخه‌ی پشتیبان ابری کاربر برای سرقت اطلاعات‌ آنها استفاده می‌کنند.
در طول حملات باج افزار، مهاجمین یک میزبان فردی را از طریق فیشینگ، بدافزار یا سرویس‌های کنترل از راه‌دور، در معرض خطر قرار می‌دهند. پس از بدست‌‍‌گرفتن دسترسی یک سیستم، به طور جانبی در سراسر شبکه گسترش می‌یابند تا اینکه به اعتبارنامه‌ ادمین و کنترل‌کننده‌ دامنه، دسترسی پیدا کنند. با استفاده از ابزاری مانند Mimikatz، اعتبارنامه‌ها را از active directory کپی می‌کنند.
طبق گفته Nero Consulting، یک شرکت مشاوره‌ی MSP و IT مستقر در اطراف نیویورک که در این مطلب نیز کمک کرده‌است، از آنجایی که برخی از ادمین‌ها Veeam را طوری پیکربندی می‌کنند که از احرازهویت ویندوز استفاده کند، به مهاجمین امکان می‌دهند که دسترسی نرم‌افزار پشتیبان‌گیری را بدست آورند

دانلود پیوست

19 اسفند 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

سازمان #NVIDIA در تاریخ 28 فوریه یک به‌روزرسانی امنیتی برای درایور GPU Display ارائه کرده که آسیب‌پذیری‌های مهم و بحرانی را برطرف می‌کند و در سیستم‌های ویندوزی آسیب‌پذیر می‌تواند منجر به حملات اجرای کد مخرب، ارتقای سطح دسترسی، افشای اطلاعات و منع سرویس شود. بهره‌برداری از حفره‌های امنیتی برطرف شده در این به‌روز‌رسانی فقط توسط کاربران محلی امکان‌پذیر است و مهاجمان از راه دور امکان بهره‌برداری از آسیب‌پذیری را ندارند.
همچنین به‌روزرسانی منتشر شده شامل دو آسیب‌پذیری با حساسیت متوسط درGPU Display و سه آسیب پذیری در نرم‌افزار گرافیکی vGPU است که می‌تواند منجر به حملات منع سرویس شود.

دانلود پیوست

17 اسفند 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

مهاجمان با بهره‌برداری از چندین #‫آسیب‌پذیری روز صفرم در سه افزونه مشهور وردپرسی، وبسایت‌های وردپرسی را هدف قرار دادند. این سه افزونه عبارت است از:
1. Async JavaScript: این افزونه با افزودن خاصیت Async به لینک‌های خارجی جاوا اسکریپت باعث به تاخیر افتادن لود آنها می‌شود و این امر سبب افزایش سرعت سایت وردپرسی خواهد شد.
2. Modern Events Calendar Lite: یک سیستم مدیریت رویداد و رزرواسیون که توانایی ایجاد بی‌نهایت رویداد در روزهای مختلف را دارد. از ویژگی‌های این افزونه می‌توان به طبقه‌بندی رویدادها، سیستم تکرار رویداد، تعیین مکان و سیستم شمارش معکوس رویداد اشاره کرد.
3. 10Web Map Builder for Google Maps: این افزونه امکان افزودن نقشه به سایت وردپرسی را فراهم می‌کند.
مهاجمان سایت‌های وردپرسی را از طریق بهره‌برداری از آسیب‌پذیری‌های متعدد XSS در سه افزونه‌های مذکور و با تزریق کد جاوا اسکریپت هدف قرار دادند. آسیب‌پذیری Cross-site scripting (XSS) به مهاجم اجازه تزریق کد مخرب جاوا اسکریپت را می‌دهد که با بازدید قربانی از وب سایت هدف، اجرا می‌شود. با اجرای کد مخرب، مهاجم با ساخت یک حساب آدمین و به نوعی ایجاد بکدور زمینه را برای حملات آینده فراهم می‌کند.
1 آسیب‌پذیری‌های روز صفرم در افزونه‌ها
اخیراً آسیب‌پذیری روز صفرم مشابه‌ی از نوع XSS در افزونه Flexible Checkout Fields for WooCommerce که به مهاجم اجازه تغییر تنظیمات افزونه را می‌داد، وصله شده است. آسیب‌پذیری XSS دیگری در افزونه Async JavaScript با تزریق یک payload مخرب، کدهای جاوا اسکریپت را زمانی که آدمین از قسمت‌های خاصی از داشبورد بازدید می‌کند، اجرا می‌کند. توسعه دهنده این افزونه که بیش از 100.000 نصب فعال دارد، بعد از گزارش این آسیب‌پذیری توسط Wordfence، وصله امنیتی آن را منتشر کرد.
به گزارش Wordfence سومین مورد آسیب‌پذیری XSS در افزونه 10Web Map Builder for Google Maps که بیش از 20.000 نصب فعال دارد، فرآیند نصب افزونه وجود دارد. توابع مربوط به نصب و راه‌اندازی افزونه در «admin_init» که بدون نیاز به احراز هویت در دسترس کاربران است، فراخوانی می‌شود. درنتیجه اگر مهاجم به مقدار مشخصی در تنظیمات افزونه، کد مخرب جاوا اسکریپت تزریق کند، با بازدید داشبورد توسط آدمین و یا بازدید سایت توسط خود کاربران کد مخرب اجرا می‌شود. به کاربران این افزونه توصیه می‌شود تا در اسرع وقت به به‌روزرسانی به نسخه 1.0.64 اقدام کنند.
آسیب‌پذیری گزارش شده در افزونه Modern Events Calendar Lite که بیش از 40.000 نصب فعال دارد، نیز از نوع XSS است. این افزونه actionهای AJAX متعددی برای کاربران لاگین شده ثبت می‌کند که به کاربران با دسترسی پایین امکان دستکاری داده‌ها و تزریق payloadهای XSS را فراهم می‌کند. این آسیب‌پذیری در در نسخه 5.1.7 برطرف شده است.
2 مراجع
[1] https://gbhackers.com/plugin-zeroday/

17 اسفند 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫آسیب‌پذیری جدید #GhostCat با شدت بحرانی بر روی سرور‌های Apache Tomcat تاثیر می‌گذارد. در این گزارش به بررسی این آسیب‌پذیری می‌پردازیم.
اگر وب سروری روی ‌Apache Tomcat اجرا می‌شود، باید برای جلوگیری از کنترل غیرمجاز هکرها، فوراً به آخرین نسخه موجود آن ارتقا داده شود. همه‌ی نسخه‌های (9.x/8.x/7.x/6.x) منتشر شده در 13 سال گذشته در Apache Tomcat، نسبت به آسیب‌پذیری « file read and inclusion» با شدت بحرانی (CVSS 9.8) آسیب‌پذیر هستند که امکان بهره‌برداری از آن در صورتی که پیکربندی پیش‌فرض تغییر نکرده باشد وجود دارد.این موضوع از آن جهت قابل توجه است که چندین بهره‌برداری از این آسیب‌پذیری در اینترنت منتشر شده ‌است و دسترسی مهاجمان به وی سرورهای آسیب‌پذیر را از همیشه آسان‌تر می‌سازد.
این آسیب‌پذیری موسوم به GhostCat و با شناسه CVE-2020-1938 به مهاجمان اجازه می‌‌دهد که بدون نیاز به احراز هویت به محتوای هر فایل موجود در سرور‌های آسیب‌پذیر دسترسی پیدا کنند، فایل‌های پیکر‌بندی حساس یا سورس کد را بدست آورند، یا اگر سرور اجازه آپلود فایل دهد، کد دلخواه خود را اجرا کنند.
1 آسیب‌پذیری GhostCat چیست و چگونه کار می‌کند؟
به گفته محققان در شرکت چینی Chaitin Tech، این آسیب‌پذیری در پروتکل AJP در نرم افزار Apache Tomcat وجود دارد که از مدیریت نادرست یک attribute ناشی می‌شود. اگر سایت به کاربران اجازه آپلود فایل دهد، مهاجم ابتدا می‌تواند با آپلود یک اسکریپت کد مخرب JSP به سرور (فایل آپلود شده می‌تواند از نوع تصاویر، فایل‌های متنی ساده و غیره باشد)، آن را به GhostCat آلوده کند که در نهایت می‌تواند منجر به اجرای کد از راه دور شود.
پروتکل Apache JServ(AJP) در اصل یک نسخه بهینه شده از پروتکل HTTP است که به Tomcat امکان برقراری ارتباط با یک وب سرور Apache را می‌دهد.
2 هک Apache Tomcat
پروتکل AJP به طور پیش فرض فعال است و به پورت TCP 8009 گوش می‌دهد، که محدود به آدرس IP 0.0.0.0 است و فقط مشتریان غیر قابل اعتماد می‌توانند از راه دور از آن بهره‌برداری کنند.
بر اساس موتور جستجو onyphe (مربوط به داده‌های هوش تهدید سایبری و متن باز)، بیش از 170،000 دستگاه وجود دارد که در زمان نوشتن یک AJP Connector از طریق اینترنت، در معرض دید همه قرار می‌گیرند.
3 نسخه های Tomcat تحت تاثیر :

• Apache Tomcat 9.x < 9.0.31
• Apache Tomcat 8.x < 8.5.51
• Apache Tomcat 7.x < 7.0.100
• Apache Tomcat 6.x

4 وصله کردن آسیب‌پذیری Apache Tomcat
محققان Chaitin این نقص را در ماه گذشته به پروژه Apache Tomcat گزارش کردند و اکنون نسخه‌های 9.0.31، 8.5.51 و 7.0.100 از Apache Tomcat برای وصله کردن این آسیب‌پذیری منتشر شده است.
آخرین نسخه منتشر شده از این محصول دو مشکل دیگر از قاچاق (Smuggling) درخواست HTTP (CVE-2020-1935 و CVE-2019-17569) را رفع کرده‌اند.
به آدمین وب اکیداً توصیه می‌کنند که هر چه سریع‌تر نرم‌افزار خود را به روز‌رسانی کرده و هرگز پورت AJP را افشا نکنند چراکه AJP درحالیکه باید در یک شبکه قابل اعتماد ارتباط برقرار کند از طریق کانال نا‌امن ارتباط برقرار می‌کند.
کاربران باید توجه داشته باشند که در تنظیمات پیش‌فرض AJP Connector در نسخه 9.0.31 تغییراتی ایجاد شده‌است که تنظیمات پیش‌فرض را مشکل‌تر کند. احتمال دارد کاربران در به روز‌رسانی 9.0.31 یا نسخه‌های بعد از آن نیاز به ایجاد تغییرات کوچکی در تنظیمات خود داشته باشند.
اگر به دلایلی نتوانید سرور وب خود را فوراً به روز‌رسانی کنید، می‌توانید اتصال AJP را مستقیماً غیرفعال کرده یا آدرس گوش دادن آن را به localhost تغییر دهید.


5 مرجع
[1] https://thehackernews.com/2020/02/ghostcat-new-high-risk-vulnerability.html

14 اسفند 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

یک آسیب‌پذیری بحرانی با شناسه CVE-2020-8794 از نوع اجرای کد از راه دور (RCE) در OpenSMTPD کشف شده است. این آسیب‌پذیری به مهاجمان از راه دور این امکان را می‌دهد تا سیستم‌عامل‌های لینوکس و سرورهای ایمیلی که BSD را اجرا می‌کنند، تحت کنترل بگیرند. OpenSMTPD که به نام OpenBSD SMTP نیز معروف است یک پیاده‌سازی متن باز سمت سرور از پروتکل SMTP است که به سیستم‌هایی که از SMTP پشتیبانی نمی‌کند امکان تبادل ایمیل با سرورهای ایمیل SMTP را می‌دهد.
این پیاده‌سازی در ابتدا به عنوان بخشی از پروژه OpenBSD توسعه داده شد اما در حال حاضر به صورت جداگانه روی تعداد زیادی از سیستم‌های مبتنی بر UNIX به صورت از قبل نصب شده عرضه می‌شود.
درباره‌ی آسیب‌پذیری
محققان امنیتی در آزمایشگاه تحقیقاتی Qualys که پیش‌تر آسیب‌پذیری مشابه‌ی با شناسه CVE-2020-7247 را کشف کرده بودند، هم اکنون آسیب‌پذیری دیگری در کامپوننت سمت کاربر OpenSMTPD که پنج سال پیش معرفی شده بود، کشف کردند. مشابه آسیب‌پذیری قبلی که مهاجمان درست یک روز بعد از انتشار آن بهره‌برداری از آن را آغاز کردند، این آسیب‌پذیری نیز امکان اجرای دستور از راه دور با هر سطح دسترسی (روت یا غیره) در سرورهای آسیب‌پذیر را فراهم می‌کند.
از آنجایی که این آسیب‌پذیری در کد سمت کاربر وجود دارد، دو سناریو زیر برای بهره‌برداری وجود دارد:
1. بهره‌برداری در سمت کاربر: آسیب‌پذیری در تنظیمات پیش فرض OpenSMTPD، از راه دور قابل بهره‌برداری است. چراکه OpenSMTPD به صورت پیش فرض ایمیل‌های دریافتی از سمت کاربران محلی (local users) را پذیرفته و به سرور ارسال می‌کند درنتیجه اگر سرور تحت کنترل مهاجم باشد (با حملات مرد میانی، DNS، یا حملات BGP)، مهاجم می‌تواند دستورات دلخواه خود را روی OpenSMTPD آسیب‌پذیر اجرا کند.
2. بهره‌برداری در سمت سرور: در ابتدا مهاجم باید به سرور OpenSMTPD متصل شود و با ارسال یک ایمیل یک bounce تولید کند؛ سپس زمانیکه سرور OpenSMTPD به سرور ایمیل مهاجم متصل می‌شود تا bounce مذکور را تحویل دهد، مهاجم می‌تواند از آسیب‌پذیری سمت کاربر استفاده کند. در آخر برای اجرای دستورات شل، مهاجم باید با اختلال در کارکرد OpenSMTPD موجب راه‌اندازی مجدد آن شود.
بهره‌برداری
محققان امنیتی بهره‌برداری ساده‌ای برای این آسیب‌پذیری تهیه کرده‌اند که در موارد زیر موفقیت‌آمیز بوده است:
• OpenBSD 6.6 (نسخه حال حاضر)
• OpenBSD 5.9 (اولین نسخه آسیب‌پذیر)
• Debian 10
• Debian 11
• Fedora 31
نتیجه آزمایش بهره‌برداری مذکور روی OpenSMTPD 6.6.3p1 به شرح زیر است:
اگر تابع «mbox» برای تحویل محلی ایمیل‌ها (که پیش فرض OpenBSD است) استفاده شود، اجرا دستورات دلخواه با سطح دسترسی روت همچنان امکان‌پذیر است. اما در صورتی که به عنوان مثال تابع maildir استفاده شود اجرای دستورات از راه دور فقط توسط کاربران غیر روت امکان‌پذیر است.
محققان Qualys دو روز به کاربرانی که نسخه‌های آسیب‌پذیر را اجرا می‌کنند مهلت داده تا نسبت به اعمال وصله امنیتی اقدام کنند. درنتیجه اگر از نسخه‌های آسیب‌پذیر سرورهای لینوکس یا BSD استفاده می‌کنید نسبت به دانلود و نصب OpenSMTPD 6.6.4 و وصله امنیتی اقدام کنید.

12 اسفند 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫سیسکو #‫به‌روزرسانی‌هایی را برای برخی محصولات خود منتشر کرده است. مهم‌ترین این آسیب‌پذیری‌ها مربوط به Smart Software Manager On-Perm است که امتیاز CVSS آن برابر با ا9.8 است. هفت آسیب‌پذیری با درجه اهمیت بالا و نه آسیب‌پذیری با درجه متوسط نیز وجود دارند. در ادامه به آسیب‌پذیری‌های بحرانی و مهم خواهیم پرداخت.

آسیب‌پذیری CVE-2020-3158 با درجه حساسیت 9.8
یک آسیب‌پذیری بحرانی در سرویس دسترس‌پذیری بالا (High Availability-HA) در Smart Software Manager On-Perm (با اسم سابق Cisco Smart Software Manager satellite) سیسکو وجود دارد. این آسیب‌پذیری به مهاجم احراز هویت نشده راه دور اجازه می‌دهد به بخش حساسی از سیستم دسترسی سطح بالا داشته باشد. علت این آسیب‌پذیری، وجود یک حساب کاربری سیستمی با گذرواژه پیش‌فرض و ثابت است. مهاجم می‌تواند با استفاده از این حساب به سیستم متصل شود و دسترسی خواندن و نوشتن داده‌های سیستم را کسب کند (از جمله داده‌های پیکربندی). مهاجم می‌تواند به بخش حساسی از سیستم دسترسی یابد اما دسترسی مدیریتی کامل برای کنترل تجهیز را نخواهد داشت.
این آسیب‌پذیری در Smart Software Manager On-Prem نسخه 7-202001 برطرف شده است. نسخه‌های ماقبل که ویژگی HA روی آنها فعال است آسیب‌پذیر هستند. این ویژگی به طور پیش‌فرض فعال نیست.
آسیب‌پذیری CVE-2019-16027 با درجه حساسیت 7.7
این آسیب‌پذیری مربوط به پروتکل مسیریابی IS-IS در نرم‌افزار Cisco IOS XR است که به مهاجم راه دور احراز هویت شده امکان ایجاد منع سرویس روی فرایند IS-IS را می‌دهد. ریشه این آسیب‌پذیری مدیریت نامناسب درخواست‌های SNMP توسط فرایند IS-IS است.
تجهیزاتی تحت تأثیر این آسیب‌پذیری هستند که نرم‌افزار IOS XR نسخه ماقبل 6.6.3، 7.0.2، 7.1.1 یا 7.2.1 را اجرا می‌کنند و پروتکل IS-IS و SNMP نسخه 1، 2c یا 3 روی آنها فعال است. این آسیب‌پذیری در نسخه‌های جدید رفع شده است، اما برای کاهش تأثیر آسیب‌پذیری می‌توان پروتکل SNMP را غیرفعال کرد یا با استفاده از لیست کنترل دسترسی، امکان استفاده از آن را به کلاینت‌های مطمئن محدود کرد.
آسیب‌پذیری CVE-2019-1888 با درجه حساسیت 7.2
آسیب‌پذیری نهفته در رابط وب Unified Contact Center Express (Unified CCX) سیسکو به مهاجم احراز هویت شده راه دور اجازه آپلود فایل و اجرای دستور با سطح دسترسی root را می‌دهد. برای بهره‌برداری از این آسیب‌پذیری مهاجم باید مشخصات یک کاربر سطح Administrator را داشته باشد. نسخه‌های ماقبل 12.5(1) آسیب‌پذیر هستند.
CVE-2019-1736 با درجه حساسیت 6.2
یک آسیب‌پذیری در ثابت‌افزار تجهیزات UCS C-Series Rack Servers سیسکو وجود دارد که به مهاجم احراز هویت شده فیزیکی اجازه می‌دهد تا اعتبارسنجی بوت امن (Secure Bot) را دور بزند و یک نرم‌افزار آسیب‌پذیر را روی تجهیز بارگذاری کند.
CVE-2019-1983 با درجه حساسیت 7.5
یک آسیب‌پذیری در Email Security Appliance (ESA) و Content Security Management Appliance (SMA) وجود دارد که به مهاجم احراز هویت نشده راه دور امکان ایجاد شرایط منع سرویس را می‌دهد.
CVE-2019-1947 با درجه حساسیت 8.6
یک آسیب‌پذیری در Email Security Appliance (ESA) وجود دارد که به مهاجم احراز هویت نشده راه دور امکان ایجاد شرایط منع سرویس را می‌دهد. این آسیب‌پذیری نسخه‌های 12.1.0-085 و 11.1.0-131 نرم‌افزار AsyncOS را در تجهیزات ESA تحت تأثیر قرار می‌دهد.
CVE-2020-3112 با درجه حساسیت 8.8
یک آسیب‌پذیری در REST API محصول Data Center Network Manager (DCNM) سیسکو وجود دارد که به مهاجم راه دور احراز هویت شده امکان ارتقاء دسترسی را می‌دهد. این آسیب‌پذیری در نسخه‌های ماقبل 11.3(1) نرم‌افزار DNCM وجود دارد.
CVE-2020-3114 با درجه حساسیت 8.8
یک آسیب‌پذیری در رابط مدیریتی وب محصول Data Center Network Manager (DCNM) سیسکو وجود دارد که به مهاجم احراز هویت نشده راه دور امکان اجرای حمله اسکریپت جعلی بین سایتی (CSRF) را می‌دهد. این آسیب‌پذیری در نسخه‌های ماقبل 11.3(1) نرم‌افزار DNCM وجود دارد.

https://tools.cisco.com/security/center/publicationListing.x

7 اسفند 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
صفحات: 1 2 3 4 5 ... » »»