هفت نقص امنیتی مختلف بر روی سرویس دهنده dnsmsq به تازگی کشف و منتشر شده است. این #آسیبپذیری ها که از درجه خطر بحرانی تا متوسط دستهبندی شدهاند منجر به آسیبپذیریهایی از نوع DNS cache poisoning و Buffer overflow میشوند. این مجموعه آسیبپذیریها به مهاجم اجازه میدهد تا از راه دور کد دلخواه خود را بر روی سیستم اجرا کرده، حملات محروم سازی از سرویس را پیاده کرده و یا کاربران را به صفحات دلخواه خود از جمله صفحات فیشینگ هدایت کند. لازم به ذکر است که سواستفاده از این آسیبپذیری ساده تلقی شده و مدیران مربوطه میبایست هر چه سریعتر نسبت به وصله نمودن سرویس دهنده خود اقدام نمایند.
شکل 1 آسیب پذیری های Buffer overflow ذکر شده
شکل 2 آسیب پذیری های DNS Cache Poisoning ذکر شده
با توجه به بررسی های صورت گرفته تمامی نسخه های قبل از نسخه 2.83 آسیب پذیر می باشند. با اجرای دستور زیر در خط فرمان میتوان شماره نسخه سرویس دهنده خود را مشاهده نمود.
dnsmasq -v
به مدیران و مسئولان مربوطه تاکید می شود تا از آخرین نسخه موجود یعنی نسخه 2.83 استفاده و سرویس دهنده خود را هرچه سریعتر بهروزرسانی نمایند. همچنین در صورت عدم نیاز به این سرویس دهنده آن را غیرفعال نموده یا تنظیمات را به گونهای انجام دهند که این سرویس دهنده صرفا در شبکه داخلی اقدام به خدمت رسانی نماید.
با توجه به راه حل های اشاره شده در منابع مختلف برای جلوگیری از آسیب پذیری DNS cache poisoning نیاز است تا ویژگی DNSSEC فعال باشد اما در صورت فعال سازی این ویژگی مهاجم میتواند حملات Buffer overflow اشاره شده در متن گزارش را اجرا نماید به همین منظور راه حل های موقت برای مرتفع سازی این آسیب پذیری ها مورد تایید مرکز ماهر نیست.
منابع
شرکت #سیسکو در بهروزرسانی اخیر خود، بهروزرسانیهایی را به منظور وصله #آسیبپذیری های موجود در محصولات خود منتشر کرد؛ لذا توصیه میشود هرچه سریعتر نسبت به بهروزرسانی سیستمهای آسیبپذیر اقدام شود. طبق advisory این شرکت، هیچگونه روش موقتی جهت کاهش مخاطرات آسیبپذیریهای مذکور منتشر نشده است و تنها با بهروزرسانی محصولات آسیبپذیر میتوان آنها را رفع نمود.
این آسیبپذیریها محصولات زیر را تحت تاثیر خود قرار میدهند:
مراجع
پیرو اطلاع رسانی پیشین مرکز ماهر در خصوص چندین #آسیبپذیری در سیستم عامل امنیتی FortiOS شرکت Fortinet، بررسی ها نشان می دهد که گروههای مهاجم سازمان یافته با اسکن پورت های 443، 4443 ، 8443 و 10443 بر بستر اینترنت به دنبال کشف دستگاههای آسیبپذیر، بهرهبرداری و سوءاستفاده از سلسله آسیبپذیریهای مذکور با شناسههای زیر میباشند:
• CVE-2018-13379
• CVE-2019-5591
• CVE-2020-12812
این سلسله آسیبپذیری که محصولات SSL VPN (پورتال تحت وب VPN) این شرکت را تحت تاثیر قرار میدهند، به مهاجم امکان بدست آوردن Credentialها، دورزدن احراز هویت چند مرحلهای و شنود ترافیک احراز هویت (حمله مرد میانی-MITM) را به منظور رهگیری Credentialها فراهم میآورد. رصد فضای سایبری کشور توسط این مرکز انجام و به میزبانهای آسیبپذیر اطلاعرسانی لازم انجام شده است.
توصیه ها:
در پی انتشار نسخه اول ضدبدافزار بومی بیت بان برای سیستم عامل اندروید، این شرکت به سفارش مرکز ماهر، به بررسی تشخیص یا عدم تشخیص پنج بدافزار شایع در تلفنهای همراه در کشور پرداخته است. نتیجه این بررسی در گزارش نشان میدهد که استفاده از این ضدبدافزار باعث شناسایی چنین بدافزارهایی در تلفنهای همراه خواهد شد. همچنین یادآور میشود بررسی مرکز ماهر نشان میدهد که در حال حاضر بیش از صدهزار تلفن همراه در کشور آلوده به یکی از این بدافزارهای هستند. نمونه فایلهای بدافزارهای بررسی شده از اینجا قابل دانلود است.
شرکت #سیسکو در چهارم فروردین ماه سال جاری بهروزرسانیهایی برای برخی محصولات خود منتشر کرد که در این بین یک #آسیبپذیری بحرانی با شدت 9.9 از 10 در نرمافزار Cisco Jabber در ویندوز وجود دارد که امکان اجرای برنامه دلخواه از راه دور را برای مهاجم احراز هویت شده فراهم میکند. سیسکو راهکار موقتی برای کاهش مخاطرات این آسیبپذیری ارائه نکرده است لذا توصیه میشود در اسرع وقت نسبت به اعمال وصلههای منتشر شده اقدام نمایید. نسخههای وصله شده این محصول شامل 12.1.5، 12.5.4، 12.6.5، 12.7.4، 12.8.5 و 12.9.5 میباشند. دو آسیبپذیری دیگر با شدت بالا نیز نرمافزارCisco IOS XE را تحت تاثیر قرار میدهد. یک مهاجم احراز هویت نشده قادر است با بهرهبرداری موفقیتآمیز از این دو آسیبپذیری منجر به ایجاد شرایط منع سرویس (DoS) و اجرای کد دلخواه از راه دور با سطح دسترسی root شود (CVE-2021-1451 و CVE-2021-1446). سیسکو برای این دو آسیبپذیری راهکارهای کاهشی ارائه کرده است:
- راهکارهای کاهش مخاطرات CVE-2021-1451:
- راهکارهای کاهش مخاطرات CVE-2021-1446:
راهکار موقت یا جایگزینی برای کاهش مخاطرات سایر آسیبپذیریها ارائه نشده است لذا توصیه میشود در اسرع وقت نسبت به اعمال وصلههای منتشر شده اقدام نمایید. در جدول زیر جزییات بیشتری در خصوص آسیبپذیریهای وصله شده آورده شده است.
مرجع
شرکت F5 برای چند #آسیبپذیری بحرانی موجود در محصولات BIG-IP بهروزرسانیهایی را منتشر کرده است؛ لذا توصیه میشود هرچه سریعتر به نصب نسخههایی که آسیبپذیریهای مذکور در آنها برطرف شده است اقدام شود. این آسیبپذیریهای بحرانی در نسخههای 11.6.5.3، 12.1.5.3، 13.1.3.6، 14.1.4، 15.1.2.1 و 16.0.1.1 محصول BIG-IP و در نسخههای 8.0.0، 7.1.0.3 و 7.0.0.2 محصول BIG-IQ برطرف شده است.
راهکارهای موقت کاهش مخاطرات ناشی بهرهبرداری از این آسیبپذیریهای بحرانی برای هر آسیبپذیری (در صورت وجود) به شرح زیر است:
• آسیبپذیری CVE-2021-22992: برای کاهش مخاطرات بهرهبرداری از این آسیبپذیری میتوانید از iRule ارائه شده توسط F5 در پیوند زیر برای سرورهای مجازی آسیبپذیر، استفاده کنید. این iRule پاسخ دریافتی از سرور را بررسی کرده و برای پاسخهای آسیبپذیر خطای 502 برمیگرداند.
https://support.f5.com/csp/article/K52510511
• آسیبپذیری CVE-2021-22987: از آنجایی که بهرهبرداری از این آسیبپذیری فقط توسط کاربران احراز هویت شده و مجاز امکانپذیر است، به جز قطع دسترسی کاربران غیر قابل اعتماد به برنامهی پیکربندی، هیچ راهکار موقت مطمئنی برای کاهش مخاطرات این آسیبپذیری وجود ندارد. اطلاعات بیشتر در پیوند زیر موجود است:
https://support.f5.com/csp/article/K18132488
• آسیبپذیری CVE-2021-22986: محدودسازی iControl REST به شبکهها و تجهیزات قابل اعتماد. اطلاعات بیشتر در خصوص نحوهی مسدود کردن دسترسی به iControl REST در پیوند زیر موجود است:
https://support.f5.com/csp/article/K03009991
برای اطلاع از جزییات سایر راهکارهای موقت کاهشی این آسیبپذیری مانند تغییر پیکربندی صفحه ورود، حذف صفحات ورود و امنسازی وبسرور و شبکه به پیوند فوق مراجعه کنید.
جزییات آسیبپذیریها
مهمترین آسیبپذیریهای این بهروزرسانی، آسیبپذیریهای بحرانی CVE-2021-22987 و CVE-2021-22986 با شدت 9.9 و 9.8 است. آسیبپذیری CVE-2021-22986 برای مهاجم احراز هویت نشده که از طریق شبکه به رابط iControl REST دسترسی دارد، امکان اجرای دستورات دلخواه سیستمی، ایجاد یا حذف فایلها و غیرفعالسازی سرویسها را فراهم میکند. سیستمهای BIG-IP در حالت Appliance نیز آسیبپذیر هستند.
در جدول زیر اطلاعات مختصری از آسیبپذیریهای مهم این بهرروزرسانی آورده شده است.
مرجع
شرکت #مایکروسافت در بهروزرسانی ماه مارس خود، بهروزرسانیهایی را برای 7 #آسیبپذیری موجود در سرور DNS خود منتشر کرد؛ لذا توصیه میشود هرچه سریعتر نسبت به بهروزرسانی سیستمهای آسیبپذیر اقدام شود. با استفاده از بخش windows update در ویندوز، آسیبپذیریهای ویندوز به صورت خودکار بهروزرسانی میشود.
جهت اعمال بهروزرسانیها به صورت دستی، میتوان از جدول موجود در لینک زیر کلیه بهروزرسانیهای منتشر شده را به طور مجزا بارگیری و سپس نصب نمود:
این آسیبپذیریها محصولات زیر را تحت تاثیر خود قرار میدهند:
جهت محدود سازی اثرات حمله و کاهش بهرهبرداری از این آسیبپذیریها اقدامات زیر توصیه میگردد:
جزییات آسیبپذیریها
5 مورد از این آسیبپذیریها، آسیبپذیری اجرای کد از راه دور (RCE) با شدت 9.8 و دو مورد از آنها انکار سرویس (DoS) هستند. با توجه به شدت این آسیبپذیریها، مهاجم میتواند از راه دور یک سرور DNS را بدون نیاز به احرازهویت یا تعامل کاربری تحت کنترل خود گیرد. بهرهبرداری موفقیتآمیز از این آسیبپذیریها (CVE-2021-26897، CVE-2021-26877، CVE-2021-26893، CVE-2021-26894، CVE-2021-26895) منجر به اجرای کد از راه دور در یک سرور DNS معتبر خواهد شد. همچنین بهرهبرداری از آسیبپذیریهای CVE-2021-26896 و CVE-2021-27063، منجر به حملات انکار سرویس خواهد شد. جهت بهرهبرداری از این آسیبپذیریها، سرور باید role مربوط به DNS و Dynamic Update را فعال کرده باشد. (پیکربندی پیشفرض)
در جدول زیر اطلاعات مختصری از آسیبپذیریهای مورد بحث آورده شده است.
مراجع
در تاریخ 16 اسفند ماه سال جاری هشداری در خصوص چند #آسیبپذیری روز صفرم در Microsoft Exchange برای نسخههای 2013، 2016 و 2019 در پورتال مرکز ماهر https://cert.ir/news/entry/13189 منتشر شد. بهرهبرداری از این آسیبپذیری مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیلها و گسترده کردن دامنه نفوذ در سطح شبکه میکند. پس از انجام بهروزرسانی و اعمال وصلهها این نگرانی از طرف مدیران شبکه و امنیت سازمانها وجود داشت که قبل از اعمال این وصلهها آیا نفوذ و بهرهبرداری از این آسیبپذیریها بر روی سرور Microsoft Exchange خود صورت گرفته است و یا مهاجمین پس از نفوذ و بهرهبرداری، برای دسترسیهای بعدی خود، دربِپشتی در سرور ایجاد کردهاند. به منظور پاسخگویی به این سوالات، گزارشی توسط آپای تخصصی دانشگاه کردستان تهیه شده است که در آن روشهای مختلفی برای پویش سرور، رفع آسیبپذیریها و دسترسیهای احتمالی و کاهش مخاطرات آنها مورد بررسی قرار گرفته است. جهت مطالعه بیشتر در این خصوصاینجا کلیک نمایید.
شرکت #سیسکو برای 12 #آسیبپذیری موجود در محصولات خود بهروزرسانیهایی را منتشر کرده است که در این بین یک آسیبپذیری با شدت بالا و شناسه CVE-2021-1361 امکان ایجاد شرایط منع سرویس (DoS) را برای یک مهاجم احراز هویت نشده فراهم میکند. توصیه میشود در اسرع وقت نسبت به اعمال وصلههای منتشر شده اقدام نمایید.
در جدول زیر جزییات بیشتری در خصوص آسیبپذیریهای وصله شده و محصولات آسیبپذیر آورده شده است:
مرجع
شرکت #مایکروسافت برای چهار زنجیرهی #آسیبپذیری روزصفرم موجود در سرور Exchange نسخههای 2013، 2016 و 2019 که به طور فعال در حال بهرهبرداری است، بهروزرسانیهایی را منتشر کرده است؛ لذا توصیه میشود هرچه سریعتر جهت بهروزرسانی سیستمهای آسیبپذیر اقدام شود. با استفاده از بخش windows update در ویندوز، آسیبپذیریهای ویندوز به صورت خودکار بهروزرسانی میشود. جهت اعمال بهروزرسانیها به صورت دستی، میتوان از جدول موجود در لینک زیر کلیه بهروزرسانیهای منتشر شده را به طور مجزا بارگیری و سپس نصب نمود:
از آنجایی که برای شروع حمله، مهاجم نیاز به برقراری یک اتصال غیرقابل اعتماد با پورت 443 سرور Exchange دارد، درصورتیکه امکان وصله کردن سیستمهای آسیبپذیر وجود نداشته باشد، پیشنهاد میشود پورت ۴۴۳ برای سیستمهای آسیبپذیر مسدود شود یا با استفاده از VPN، سرور Exchange را ایزوله کرده و دسترسی خارج از شبکه به این پورت محدود شود تا از خطرات ناشی از بهرهبرداری از اولین آسیبپذیری این زنجیره، کاسته شود.
استفاده از روش کاهشی فوق تنها حمله اولیه را کاهش میدهد. اگر مهاجمی از قبل به سیستم قربانی دسترسی داشته باشد یا بتواند یک مدیر سیستم را فریب دهد تا یک فایل مخرب را بازگشایی کند، قسمتهای دیگر زنجیره حمله همچنان فعال خواهند بود.
جزییات آسیبپذیریها
مهاجم تنها با دانستن اینکه سرور هدف در حال اجرای Exchange است و بدون نیاز به احراز هویت، با بهرهبرداری از آسیبپذیری با شناسه CVE-2021-26855 که اولین آسیبپذیری در زنجیره است، قادر است ایمیلها و اطلاعات حساس را سرقت کند؛ در ادامه با بهرهبرداری از سه آسیبپذیری با شناسههای CVE-2021-26857، CVE-2021-26858 و CVE-2021-27065 امکان اجرای کد از راه دور بر روی سیستم آسیبپذیر برای مهاجم فراهم میشود. همانطور که گفته شد این آسیبپذیریها تحت بهرهبرداری فعال قرار داشته و در حملات محدود و هدفمند توسط گروه APT چینی به نام HAFNIUM برای سرقت ایمیلها و نفوذ به شبکه سازمان مورد استفاده قرار گرفته است.
علاوه بر چهار آسیبپذیری روز صفرم، مایکروسافت در این بهروزرسانی دو آسیبپذیری دیگر با شدت 9.1 را نیز وصله کرده است که بهرهبرداری از آن منجر به اجرای کد از راه دور توسط مهاجم میشود. در جدول زیر اطلاعات مختصری از آسیبپذیریهای مورد بحث آورده شده است.
مراجع
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/