فا

‫ اخبار

صفحات: 1 2 3 4 5 ... » »»
هشدار! دو آسیب‌پذیری بحرانی RCE در rConfig

هشدار مهم و فوری برای کسانی که از ابزار محبوب مدیریت پیکربندی شبکه‌ی #‫rConfigبرای محافظت و مدیریت دستگاه‌های شبکه خود استفاده می‌کنند.

به تازگی، جزئیات و کد اثبات مفهومی برای دو #‫آسیب‌پذیری مهم و بحرانی اجرای کد از راه دور (remote code execution) در ابزار rConfigمنتشر شده است. در یکی از این آسیب‌پذیری‌ها، مهاجم غیر مجاز می‌تواند از راه دور سرورهای مورد هدف را به خطر انداخته و به دستگاه‌های شبکه متصل شود.

rConfigکه به زبان PHPنوشته شده است، یک ابزار اُپن‌سورس برای مدیریت پیکربندی دستگاه‌های شبکه است که مهندسان شبکه را قادر می‌سازد دستگاه‌های شبکه را پیکربندی نمایند و به صورت مکرر از پیکربندی‌ها اسنپ‌شات بگیرند.

از این ابزار برای مدیریت بیش از 3.3 میلیون دستگاه شبکه از جمله سوئیچ‌ها، روترها، فایروال‌ها، load-balancerو بهینه‌سازهای WANاستفاده می‌شود.

آنچه که موجب نگرانی بیشتر می‌شود این است که هر دوی این آسیب‌پذیری‌ها تمام نسخه‌های rConfigاز جمله آخرین نسخه آن یعنی 3.9.2 را تحت تأثیر قرار داده و تاکنون نیز هیچ وصله امنیتی برای آنها منتشر نشده است.

هر یک از این آسیب‌پذیری‌ها در یک فایل جداگانه‌ی rConfigقرار دارند، اولین آسیب‌پذیری با شناسه "CVE-2019-16662" می‌تواند از راه دور و بدون نیاز به احراز هویت، مورد اکسپلویت قرار گیرد. در حالیکه آسیب‌پذیری دیگر با شناسه " CVE-2019-16663" قبل از اینکه مورد اکسپلویت قرار بگیرد به احراز هویت نیاز دارد.

  • آسیب‌پذیری اجرای کد از راه دور احراز هویت نشده (CVE-2019-16662) در فایل ajaxServerSettingsChk.php
  • آسیب‌پذیری اجرای کد از راه دور احراز هویت شده (CVE-2019-16663) در فایل search.crud.php

برای اکسپلویت هر دو مورد، یک مهاجم تنها کافیست از طریق یک پارامتر GET ناقص که برای اجرای دستورات مخرب بر روی سرور مورد هدف طراحی شده است، به فایل‌های آسیب‌پذیر دسترسی پیدا کند.

همانگونه که در تصویر فوق قابل مشاهده است، کد اثبات مفهومی به مهاجمان اجازه می‌دهد تا یک شِل از راه دور را از سرور قربانی دریافت کنند و به واسطه آن هر دستور دلخواهی را بر روی آن سرور با همان امتیازات برنامه وب، اجرا کنند.

در عین حال، یک محقق امنیتی دیگر این آسیب‌پذیری‌ها را مورد تجزیه و تحلیل قرار داده و کشف کرد که آسیب‎پذیری RCEدوم نیز می‌تواند بدون نیاز به احراز هویت در نسخه‌های قبل از نسخه 3.6.0 rConfigمورد اکسپلویت قرار گیرد.

با این حال، پس از بررسی کد منبع rConfig، مشخص شد که نه تنها rConfig 3.9.2دارای آسیب‌پذیری‌ است بلکه تمام نسخه‌های آن دارای آسیب‌پذیری می‌باشند. علاوه بر این، آسیب‌پذیری CVE-2019-16663نیز می‌تواند پس از تأیید هویت در تمام نسخه‌های قبل از rConfig 3.6.0مورد اکسپلویت قرار گیرد.

  1. توصیه امنیتی

در صورتی که از ابزار rConfigاستفاده می‌کنید، توصیه می‌شود تا زمان انتشار وصله‌های امنیتی، آن را به طور موقت از سرور خود حذف کنید.

منبع خبر:

https://thehackernews.com/2019/11/rConfig-network-vulnerability.html

دیروز، 08:21 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

#‫آسیب_پذیری در اجرای مفسر Luaدر نرم افزار Cisco Adaptive Security Appliance (ASA)و نرم افزار Cisco Firepower Threat Defence (FTD) می تواند به یک مهاجم معتبر و از راه دور اجازه دهد تا کد دلخواه را با امتیازات اصلی در سیستم عامل لینوکس اجرا کند.

این آسیب پذیری به دلیل محدودیت ها در فراخوانی توابع Luaدر چارچوب اسکریپت های Luaتوسط کاربر رخ می دهد. یک بهره برداری موفقیت آمیز می تواند به مهاجم اجازه دهد تا یک وضعیت سرریز پشته را ایجاد کند و کد دلخواه را با امتیازات اصلی در سیستم عامل زیرین لینوکس یک دستگاه آسیب دیده اجرا کند.

سیسکو به روزرسانی های نرم افزاری را برای رفع این آسیب پذیری منتشر نکرده است. هیچ راه حلی برای رفع این آسیب پذیری وجود ندارد. مشخصات مربوط به آسیب پذیری را می توانید در جدول زیر مشاهده فرمایید.

Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Remote Code Execution Vulnerability

زیاد

(High)

آسیب ­پذیری اجرای کد از راه دور در فایروال ASAو FTDسیسکو

عنوان

CVE-2019-15992

شناسه

آسیب­پذیری

7.2

CVSSscore

اجرای کد از راه دور (RCE)

تاثیر

2019 November 22 22:03 GMT

تاریخ انتشار

تمامی نسخه­ های نرم­ افزارهای ASAو FTDرا تحت تاثیر قرار می­ دهد به جز محصولات زیر:

  • Adaptive Security Device Manager
  • Cisco Security Manager
  • Firepower Management Center
  • Firepower Management Center 1000

محصولات آسیب­پذیر

جدول زیر به روز رسانی مربوط به نرم­ افزار ASAرا نشان می­دهد. هنوز وصله نرم­ افزار FTDمنتشر نشده است.

Description: C:\Users\apa\Desktop\1.PNG

راه حل

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191112-asa-ftd-lua-rce

آدرس

13 آذر 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
آسیب‌پذیری جدید PHP و امکان هک شدن سایت‌های درحال اجرا بر روی سرورهای Nginx!

#‫آسیب_پذیری جدید در وب سایت­های مبتنی بر PHPبر روی سرورهای NGINXکشف شده است.

اگر برای بهبود عملکرد و کارایی اینگونه وب­سایت­ها، قابلیت PHP-FPMرا فعال کرده‌اید، بدانید که در معرض آسیب‌پذیری جدیدی قرار دارید که در آن مهاجمان غیرمجاز می‌توانند از راه دور سرور وب‌سایت شما را هک کنند.

به این آسیب‌پذیری شناسه "CVE-2019-11043" اختصاص داده شده است و وب‌سایت‌هایی با پیکربندی خاصی از PHP-FPM(که ظاهراً غیرمعمول هم نیست) را تحت تأثیر قرار می‌دهد. قابلیت PHP-FPMپیاده‌سازی دیگری از PHP FastCGIاست که پردازش‌هایی پیشرفته و بسیار کارآمد را برای اسکریپت‌های نوشته شده در زبان برنامه‌نویسی PHPارائه می‌دهد.

علت اصلی این آسیب‌پذیری، مشکل حافظه underflow"env_path_info" در ماژول PHP-FPMاست و ترکیب آن با سایر نقص‌ها می‌تواند مهاجمان را قادر سازد تا از راه دور کد دلخواه خود را بر روی وب‌سرورهای آسیب‌پذیر اجرا کنند.

آسیب‌پذیری مذکور، توسط یک محقق امنیتی در Wallarmبه نام Andrew Danauدر زمان برگزاری یکی از مسابقات Capture The Flag(CTF)کشف شد و وی با همکاری دو تن از محققان دیگر به نام‌های Omar Ganievو Emil Lernerتوانستند آن را به صورت یک اکسپلویت اجرای کد از راه دور توسعه دهند.

کدام یک از وب‌سایت‌های مبتنی بر PHPدر برابر مهاجمان آسیب‌پذیرند؟

اگرچه اکسپلویت کد اثبات مفهومی (PoC) آسیب‌پذیری مورد بحث به صورت عمومی متتشر شده است اما به طور خاص برای هدف قرار دادن سرورهای آسیب‌پذیر در حال اجرای نسخه‌های PHP 7+طراحی شده است، با این وجود، نسخه‌های پیشین PHPنیز تحت تأثیر این آسیب‌پذیری قرار دارند.

به طور خلاصه، یک وب‌سایت آسیب‌پذیر خواهد بود اگر:

  • وب‌سرور NGINXبه صورتی پیکربندی شده باشد که درخواست‌های صفحات PHPرا به پردازنده PHP-FPMارسال کند.
  • دستور "fastcgi_split_path_info" در این پیکربندی وجود داشته و شامل یک عبارت معمولی باشد که با نماد '^' شروع می‌شود و با نماد '$' خاتمه می‌یابد.
  • متغیر PATH_INFOبا دستور fastcgi_paramتعریف شده است.
  • دستوری شبیه به "try_files $uri =404"و یا "-f $uri" برای مشخص کردن وجود یا عدم وجود یک فایل، وجد نداشته باشد.

پیکربندی آسیب‌پذیر NGINXو PHP-FPMمی‌تواند به صورت زیر باشد:

در این مثال، از دستور " fastcgi_split_path_info" برای تقسیم URLصفحات PHPوب به دو بخش استفاده می‌شود، بخش اول یک موتور PHP-FPMبرای فهمیدن نام اسکریپت و بخش دوم شامل اطلاعات مسیر آن است.

اکسپلویت اجرای کد از راه دور در PHP FPMچگونه عمل می‌کند؟

به گفته محققان، عبارتی که دستور " fastcgi_split_path_info" را تعریف می‌کند، با استفاده از کاراکتر خط جدید می‌تواند به گونه‌ای دستکاری شود که در نهایت تابع تقسیم کننده URLتمامی اطلاعات مسیر را خالی کند.

در مرحله بعد، از آنجا که یک اشاره‌گر محاسباتی در کد FPMوجود دارد که به اشتباه " env_path_info" را بدون تأیید وجود فایلی بر روی سرور، یک پیشوند مساوی با مسیر اسکریپت phpتلقی می‌کند، این مسئله می‌تواند توسط یک مهاجم برای بازنویسی داده‌ها در حافظه با درخواست URLهای خاص ساخته شده از وب‌سایت‌های مورد هدف اکسپلویت شود.

برای مطالعه کامل کلیک نمایید

12 آذر 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
لزوم بروزرسانی مرورگر گوگل کروم به دنبال آسیب‌پذیری روز صفرم در این مرورگر

به گزارش Hacker News، شرکت گوگل با انتشار نسخه 78.0.3904.87 کروم، به میلیاردها کاربر خود هشدار داد که برای وصله دو آسیب‌پذیری با شدت بالا، مرورگر خود را بروزرسانی کنند. در یکی از این آسیب‌پذیری‌ها مهاجمان می‌توانند کامپیوترها را در سراسر جهان اکسپلویت نمایند.

تیم امنیتی کروم بدون انتشار جزئیات فنی این آسیب‌پذیری‌ها، تنها بیان می‌کند که آنها از نوع use-after-freeمی‌باشند و یکی از این آسیب‌پذیری‌ها با شناسه " CVE-2019-13720" بخش‌های مربوط به صدا در این مرورگر و آسیب‌پذیری دیگر با شناسه " CVE-2019-13721" کتابخانه PDFiumرا تحت تأثیر خود قرار خواهد داد.

آسیب‌پذیری use-after-freeنوعی تخریب حافظه است که با تخریب یا تغییر داده‌های موجود در حافظه، یک کاربر غیرمجاز را قادر می‎سازد تا سطح دسترسی و امتیازات خود را در سیستم یا نرم‌افزار آسیب‌دیده افزایش دهد.

بنابراین، به واسطه هردو آسیب‌پذیری مذکور، مهاجمان می‌توانند از راه دور با ترغیب کاربران مورد هدف برای بازدید از یک وب‌سایت مخرب، امتیازاتی را بر روی مرورگر کروم بدست آورند، از محافظت‌های sandboxبگریزند و نیز کد مخرب خود را بر روی سیستم‌های مورد هدف اجرا نمایند.

از اینرو لازم است کاربرانی که از مرورگر کروم در کامپیوترهای ویندوز، مک و لینوکس استفاده می‌کنند سریعاً مرورگر خود را به آخرین نسخه آن بروزرسانی نمایند.

حملات فعال در آسیب‌پذیری روز صفرم گوگل کروم

آسیب‌پذیری روز صفرم در مرورگر کروم توسط محققان کسپرسکی به نام‌های Anton Ivanovو Alexey Kulaevکشف و گزارش شده است، آسیب‌پذیری مربوط به مؤلفه‌های صوتی در برنامه کروم در سراسر جهان مورد اکسپلویت قرار گرفته است، البته در حال حاضر هویت مهاجمان مشخص نیست.

تیم امنیتی گوگل کروم بیان کرد که این شرکت از گزارش‌های منتشر شده مبنی بر اکسپلویت آسیب‌پذیری " CVE-2019-13720" آگاه است.

use-after-freeیکی از رایج‌ترین آسیب‌پذیری‌هایی است که در چند ماه گذشته در مرورگر کروم کشف و وصله شده است.. حدود یک ماه پیش، شرکت گوگل بروزرسانی امنیتی فوری را برای این مرورگر منتشر کرد تا در مجموع 4 آسیب‌پذیری use-after-freeرا در مؤلفه‌های مختلف آن رفع نماید. در شدیدترین آن آسیب‌پذیری‌ها، یک مهاجم از راه دور می‌تواند کنترل کامل سیستم آسیب‌دیده را بدست گیرد.

چند ماه پیش نیز، گوگل پس از اطلاع از اکسپلویت آسیب‌پذیری روز صفرم شبیه به use-after-freeدر کروم که FileReaderاین مرورگر را تحت تأثیر قرار می‌داد بروزرسانی امنیتی دیگری را منتشر کرد.

جزئیات فنی اکسپلویت روز صفرم کروم

یک روز پس از انتشار بروزرسانی گوگل برای رفع دو آسیب‌پذیری با شدت بالا در کروم، شرکت امنیت سایبری کسپرسکی جزئیات فنی بیشتری را در مورد این آسیب‌پذیری‌ها به این شرکت گزارش داد.

به گفته محققان، مهاجمان یک سایت خبری به زبان کره‌ای را مورد حمله قرار دادند. آنها کد اکسپلویتی را بر روی این سایت قرار داده و به واسطه آن، کامپیوترهای بازدید کننده از این سایت که از نسخه‌های آسیب‌پذیر کروم استفاده می‌کنند را مورد حمله خود قرار می‌دادند.

گفته می‌شود که این اکسپلویت پس از اکسپلویت آسیب‌پذیری CVE-2019-13720کروم، در مرحله اول یک بدافزار را بر روی سیستم‌های مورد هدف نصب می‌کند و پس از آن به یک سرور کنترل و فرمان (command-and-control) کدگذاری شده و راه دور برای بارگیری payloadنهایی متصل می‌شود.

محققان Operation WizardOpiumعنوان کردند که این حمله سایبری هنوز به گروه خاصی از هکرها نسبت داده نشده است. با این حال، محققان شباهت‌هایی را در کد این اکسپلویت و گروه هکر Lazarusمشاهده کردند.

برای کسب اطلاعات بیشتر در مورد عملکرد اکسپلویت آسیب‌پذیری تازه وصله شده‌ی کروم، می‌توانید به گزارش جدیدیکه توسط کسپرسکی منتشر شده است مراجعه نمایید.

وصله جدید در دسترس است، سریعاً گوگل کروم را بروزسانی کنید!

برای وصله دو آسیب‌پذیری امنیتی مذکور، شرکت گوگل انتشار نسخه 78.0.3904.87 مرورگر کروم را برای سیستم‌عامل‌های ویندوز، مک و لینوکس را آغاز کرده است.

  1. توصیه امنیتی

اگرچه این مرورگر به صورت خودکار، درباره آخرین نسخه موجود به کاربران اطلاع می‌دهد، اما توصیه می‌شود با رفتن به منوی Help → About Google Chrome، روند بروزرسانی را به صورت دستی شروع کنید.

علاوه بر این، به کاربران این مرورگر توصیه می‌شود در سریع‌ترین زمان ممکن تمام نرم‌افزارهای سیستم خود را به عنوان یک کاربر غیرمجاز اجرا کنند.

منبع خبر:

https://thehackernews.com/2019/11/chrome-zero-day-update.html

12 آذر 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مایکروسافت آخرین به‌روزرسانی را برای #‫آسیب‌پذیری‌های نرم‌افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. مرکز پاسخگویی امنیتی مایکروسافت (MSRC) تمام گزارش‌های آسیب‌پذیری‌های امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات را به عنوان بخشی از تلاش‌های مداوم برای کمک به مدیریت خطرات امنیتی و کمک به حفاظت از سیستم‌های کاربران فراهم می‌نماید. MSRCهمراه با همکاران خود و محققان امنیتی در سراسر جهان برای کمک به پیشگیری از وقایع امنیتی و پیشبرد امنیت مایکروسافت فعالیت می‌کند.

دانلود پیوست

5 آذر 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
گزارش امنیتی محصولات سیسکو با درجه حساسیت Critical در اُکتبر 2019

شرکت Ciscoیکی از بزرگترین تولیدکنندگان تجهیزات نرم‌افزاری و سخت‌افزاری شبکه می باشد که با توجه به پیشرفت روز افزون حوزه فناوری اطلاعات و به موازات آن افزایش چشم‌گیر تهدیدات سایبری در سطح جهان و آسیب‌پذیری‌های موجود در این تجهیزات می‌تواند موجب به خطر افتادن اطلاعات کاربران شود. از این رو بخش‌های مختلفCisco به صورت مداوم و چندین مرتبه در ماه اقدام به ارائه آسیب‌پذیری‌های کشف شده در سرویس‌ها و تجهیزات این شرکت کرده و راه‌حل‌هایی برای رفع این آسیب‌پذیری‌ها ارائه می‌کنند. در این گزارش محصولاتی که دارای آسیب‌پذیری‌ با سطح (Critical) هستند و می‌توان با مراجعه به لینک مشخص شده اطلاعات جامع در مورد آسیب‌پذیری و نحوه رفع آن را کسب کرد.

بحرانی(Critical)

Cisco Aironet Access Points Unauthorized Access Vulnerability

عنوان

آسیب‌پذیری دسترسی غیر مجاز به نقاط دسترسی Aironetسیسکو

شناسه آسیب‌پذیری

CVE-2019-15260

CWE-284

CVSS Score

Base 9.8

نسخه

Final 1.1

شناسه باگ‌های سیسکو

CSCvm54888

تاثیر

Unauthorized Access

تاریخ آخرین به‌روزرسانی

2019 October 16 16:00 GMT

توضیحات

آسیب‌پذیری موجود در نرم‌افزار نقاط دسترسی Aironet (APs)می‌تواند به یک مهاجم با دسترسی از راه دور اجازه دهد که دسترسی غیرمجاز به یک هدف را بدست آورد. یک مهاجم می‌تواند با درخواست URLخاص از یک APآسیب دیده از آن بهره‌برداری نماید و سطح دسترسی بالا، به دستگاه پیدا کند. در حالی که امکان دسترسی به همه گزینه‌های ممکن برای پیکربندی به مهاجم داده نمی شود، می‌تواند به مهاجم اجازه دهد که اطلاعات حساس را مشاهده کند و برخی گزینه‌ها را با مقادیر موردنظر خود جایگزین کند.

محصولات آسیب‌پذیر

  • Aironet 1540 Series APs
  • Aironet 1560 Series APs
  • Aironet 1800 Series APs
  • Aironet 2800 Series APs
  • Aironet 3800 Series APs
  • Aironet 4800 APs

راه حل

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-unauth-access

بحرانی(Critical)

Cisco REST API Container for IOS XE Software Authentication Bypass Vulnerability

عنوان

آسیب‌پذیری دور زدن احراز هویت نرم افزار IOS XEبرای REST API Containerسیسکو

شناسه آسیب‌پذیری

CVE-2019-12643

CWE-287

CVSS Score

Base 10.0

نسخه

Final 1.1

شناسه باگ‌های سیسکو

CSCvn93524

CSCvo47376

تاثیر

Authentication Bypass

تاریخ آخرین به‌روزرسانی

2019 October 18 16:08 GMT

توضیحات

آسیب‌پذیری موجود در REST API virtual service containerسیسکو برای نرم‌افزار IOS XEمی‌تواند به یک مهاجم از راه دور اجازه دهد تا احراز هویت در دستگاه مدیریت شده توسط Cisco IOS XEرا دور بزند.

محصولات آسیب‌پذیر

  • Cisco 4000 Series Integrated Services Routers
  • Cisco ASR 1000 Series Aggregation Services Routers
  • Cisco Cloud Services Router 1000V Series
  • Cisco Integrated Services Virtual Router

و تمام محصولاتی که با Cisco IOS XEراه اندازی می شوند.

راه حل

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-iosxe-rest-auth-bypass

20 آبان 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی, اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

دانلود گزارش امنیتی محصولات سیسکو با درجه حساسیت Critical در سپتامبر 2019

25 شهریور 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
گزارش اصلاحیه امنیتی مایکروسافت در ماه سپتامبر 2019

مایکروسافت آخرین به‌روزرسانی را برای آسیب‌پذیری‌های نرم‌افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. به‌روزرسانی‌ امنیتی در ماه سپتامبر سال 2019 برای محصولات در درجه حساسیت بحرانی به صورت زیر بوده است:

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Edge
  • ChakraCore
  • Microsoft SharePoint
  • Azure DevOps Server

و همچنین برای Adobe Flash Playerیک بروزرسانی با شناسه ADV190022ارائه شد.

وصله امنیتی هر کدام از آسیب‌پذیری‌ها بر اساس نسخه خاصی از سیستم‌عامل نوشته شده است. کاربر می‌بایست با استفاده از فرمان winverدر CMDنسخه سیستم‌عامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید.

دریافت گزارش اصلاحیه امنیتی مایکروسافت

25 شهریور 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

دریافت جدول گزارش اصلاحات امنیتی محصولات سیسکو با درجه حساسیت Critical درAugust 2019

30 مرداد 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
صفحات: 1 2 3 4 5 ... » »»