رصد فضای سایبری کشور نشان از آن دارد که تعداد قابل توجهی از صفحات پیکربندی فایروالهای سازمانها، صفحات پیکربندی مسیریابها، صفحات مانیتورینگ شبکه و ... از طریق شبکهي اینترنت قابل دسترسی است. این در حالیست که متاسفانه در تعداد قابل توجهی از آنها از کلمهی عبور پیشفرض هم استفاده شده است. در هفتهی گذشته متاسفانه مرکز ماهر بیش از ۲۰۰ مورد هشدار به سازمانها و شرکتها و تولیدکنندگان محصولات امنیتی داخلی ارسال کرده است. لازم است که دسترسی به این سرویسها از طریق اینترنت محدود شده و اگر بنابر ضرورتهای کرونایی نیاز به دسترسی راه دور دارد، حتما از طریق vpn انجام شود. از آن مهمتر، نسبت به تغییر کلمات عبور پیشفرض حتما اقدام شود.
#آسیبپذیری روز صفر در افزونه SMTP وردپرس که منجربه بازنشانی پسورد ادمین میشود به صورت گسترده در حال اکسپلویت است. وصله این آسیبپذیری در تاریخ 7 دسامبر سال جاری منتشر شده است، اما هنوز هم بسیاری از سایتها وصله نشده باقی ماندهاند. بنابراین لازم است مدیران وبسایتهای وردپرسی که از این افزونه استفاده میکنند، هرچه سریعتر اقدام به بهروزرسانی این نرمافزار نمایند.
افزونه Easy WP SMTP که برای تنظیم SMTP برای ایمیلهای ارسالی از وبسایت استفاده میشود و در بیش از 500،000 وبسایت نصب شده است، در هفته گذشته مورد حملات گسترده قرار داشته است و هنوز هم با وجود اینکه وصله آن منتشر شده است، همچنان این حملات ادامه دارند. بر اساس گزارش NinTechNet، نسخه 1.4.2 ازEasy WP SMTP و نسخههای قبل از آن دارای ویژگی است که برای هر ایمیل ارسالی لاگی برای اشکالزدایی تولید میکند و در دایرکتوری نصب این افزونه ذخیره میکند. قابلیت پیمایش دایرکتوری در دایرکتوری نصب افزونه فعال است، بنابراین هکرها میتوانند لاگها را مشاهده کنند.
در سایتهایی که نسخههای آسیبپذیر این افزونه را استفاده میکنند، هکرها حمله خودکاری را اجرا میکنند تا حساب کاربری ادمین را شناسایی کرده و درخواستی برای بازنشانی پسورد کاربر ادمین ارسال کند. از آنجاییکه بازنشانی پسورد، شامل ارسال ایمیل بازنشانی به لینک حساب کاربری ادمین است؛ این ایمیل نیز در لاگهای WP SMTP ذخیره میشود. سپس هکرها با دسترسی به لاگ این ایمیلها لینک بازنشانی را استخراج کرده و پسورد حساب کاربری ادمین را بازنشانی کرده و دراختیار میگیرند.
توسعه دهندگان برای رفع این آسیبپذیری لاگهای این افزونه را به دایرکتوری لاگهای وردپرس که از امنیت بیشتری برخوردار است، منتقل کردهاند. این دومین بار است که یک آسیبپذیری روز صفر در این افزونه شناسایی میشود و به صورت گسترده مورد سوء استفاده قرار میگیرد. اما خوشبختانه در مقایسه آسیبپذیری روز صفر اول که در مارس 2019 منتشر شده بود، در حال حاضر قابلیت بهروزرسانی خودکار به این افزونه اضافه شده است. بنابراین کاربران این افزونه برای بهروزرسانی آن کافیست دکمه بهروزرسانی خودکار را فعال کنید. اگر از نسخههای آسیبپذیر افزونه Easy WP SMTP استفاده میکنید، هرچه سریعتر نسبت به بهروزرسانی این نرمافزار به نسخه 1.4.4 اقدام نمایید.
منبع خبر:
شرکت SolarWind اعلام کرده است که تمام نسخههای SolarWinds Orion Platform که در ماههای March تا June امسال منتشر شدهاند، #آسیبپذیر هستند. بنابراین اگر شرکت یا سازمان ایرانی هستید و از نرمافزار Solarwinds استفاده میکنید و این نرم افزار را در بازه زمانی مذکور بهروزرسانی یا نصب کردهاید، پس شما یک محصول آسیبپذیر را در شبکه خود دارید. لذا ضروریست تا هرچه سریعتر نسبت به نصب آخرین نسخه این محصول ( version 2020.2.1 HF 1 ) از این لینک اقدام کنید.
شرکت FireEye گزارش کرده است که هکرهایی که از طرف یک دولت خارجی فعالیت میکنند، با نفوذ در فرایند ایجاد نرم افزار SolarWinds و ایجاد بک دور در این محصول، موجب آسیبپذیری صدها شبکه در دنیا شدهاند که از نسخههای 2019.4 HF 5 تا 2020.2.1 از این محصول استفاده میکنند. گزارش وجود #بدافزار در SolarWinds بعد از افشای خبر حمله به دو وزارت خزانه داری ایالات متحده و اداره ارتباطات ملی و اطلاعات وزارت بازرگانی ایالات متحده منتشر شد که از جزئیات این بدافزار را شرح میدهد. همچنین باید خاطر نشان کرد که برای نفوذ به شرکت FireEye که چند روز پیش خبر آن را منتشر کردیم، نیز از این آسیبپذیری سوءاستفاده شده است.
با توجه به حملات انجام شده تمام سازمانها و ادارات دولتی کشور که از SolarWinds استفاده میکنند باید هرچه سریعتر امنیت شبکه خود را بررسی نمایند. نسخههای 2019.4 HF 5 تا 2020.2.1 از این پلتفرم آسیبپذیر هستند. اگر مطمئن نیستید از کدام یک از نسخههای Orion Platform استفاده میکنید، کافیست یا از طریق بررسی صفحه ورود به محصول یا با استفاده از کنترل پنل نرم افزار نسخه محصول را شناسایی کنید.
برای شناسایی نسخه از کنترل پنل محصول، لازم است، گامهای زیر را انجام دهید. کنترل پنل را باز کنید و وارد مسیر زیر شوید.
در قسمت انتهایی صفحه لیست محصولات و نسخه آن در بخش SolarWinds مانند شکل 1 نمایش داده شده است. تعداد مدخلهای این بخش متناسب با محصولات نصب شده است. توصیه میشود پس از بهروزرسانی محصولات حتما با استفاده از گامهای زیر اطمینان حاصل کنید که بهروزرسانی در تمام محصولات به درستی انجام شده است. کنترل پنل را بازکرده و وارد مسیر زیر شوید.
در انتهای صفحه در بخش SolarWinds لیست بهروزرسانیهای انجام شده مشابه آنچه در شکل2 مشاهده میکنید، نمایش داده شده است.
شکل 1- لیست محصولات و نسخه آنها
شکل 2- آخرین بهروزرسانی SolarWinds
اگر امکان بهروزرسانی برای شما وجود ندارد، لطفا راهنمایی موجود در اینجا را جهت ایمنسازی پلتفرم خود بررسی نمایید. راهکارهای پیشگری اولیه میتواند شامل قرار دادن پلتفرم در پشت یک فایروال، غیرفعالسازی دسترسی به پلتفرم از طریق اینترنت، محدود سازی پورتها باشد.
FireEye بدافزار پلتفرم SolarWinds را SUNBURST نامگذاری کرده است و مجوعه قوانینی را جهت حفاظت در برابر حملات این بدافزار خطرناک اینجا منتشر کرده است که مدیران شبکه لازم است، این قوانین را درسیستمهای تشخیص نفوذ خود اعمال نمایند. همچنین مدیران شبکه بایستی به صورت مکرر این لینک را بررسی کنند تا در صورت انتشار، از این قوانین آگاه شوند. مایکروسافت این بد افزار را Solorigate نام گذاری کرده است و مجموعه قوانینی را برای آنتی ویروس Defender را منتشر کرده است.
SolarWinds اعلام کرده است امروز (15 دسامبر سال 2020 میلادی) برای این محصول یک بهروزرسانی جدیدی منتشر خواهد کرد. توصیه میشود کاربران به محض انتشار نسخه 2020.2.1 HF 2 پلتفرم خود را به این نسخه بهروزرسانی نمایند.
شرکت FireEye مورد نفوذ قرار گرفته و ابزارهای این شرکت اکنون در دست مهاجمان است. بنابراین ضروریست سازمانها و شرکتهای دولتی و خصوصی کشور در آمادگی کامل باشند. مدیران شبکه، سیستمهای خود را بررسی کنند و اطمینان حاصل کنند که تاکنون مورد حمله واقع نشده باشند. همچنین باید براساس قوانین ارائه شده توسط این شرکت سیستمهای تشخیص نفوذ خود را قدرتمند ساخته و به صورت مداوم پیگیر خبرهای این شرکت باشند تا در صورت هر گونه اعلام هشدار یا راهکار جدیدی سیستمهای خود را بهبود ببخشند. برای مطالعه بیشتر در خصوص این خبر و اطلاع از لیست #آسیبپذیری هایی که رفع آنها برای مقابله با اثرات جانبی این حملات مفید است، اینجا کلیک کنید.
#سیسکو بهروزرسانی امنیتی را برای رفع چندین #آسیبپذیری که Cisco Security Manager را تحت تاثیر قرار میدهد منتشر کرده است. برای اکسپلویت این آسیبپذیریها نیازی به احراز هویت نیست و اکسپلویت این آسیبپذیریها امکان اجرای کد از راه دور را فراهم میآورد.
Cisco Security Manager به مدیریت سیاستهای امنیتی در مجموعه وسیعی از تجهیزات امنیتی و شبکه سیسکو کمک میکند و همچنین گزارشات خلاصه شده و قابلیت عیبیابی رویدادهای امنیتی را فراهم میکند. این محصول با مجموعه وسیعی از وسایل امنیتی سیسکو مانند سوئیچهای سری Cisco Catalyst 6000، روترهای سرویس یکپارچه (ISR) و سرویس فایروال کار میکند.
این آسیبپذیریها که نسخههای 4.22 از Cisco Security Manager و نسخههای قبلتر از آن را تحتتاثیر قرار میدهند در 16 نوامبر توسط سیسکو افشاء شدند. سیسکو این آسیبپذیریها را یک ماه پس از آنکه یک محقق امنیتی با نام Florian Hauser آنها را گزارش کرد، افشاء نمود. Hauser پس از آنکه تیم پاسخگویی به حوادث امنیتی محصول سیسکو پاسخ دادن به او را متوقف کردند، کدهایProof-of-concept همه این 12 مورد آسیبپذیریها را منتشر کرد.
سیسکو دو مورد از این 12 مورد آسیبپذیری که با شناسههای CVE-2020-27125 و CVE-2020-27130 پیگیری میشوند در نوامبر رفع کرده بود. اما برای بقیه آسیبپذیریها که مجموعا با شناسه CVE-2020-27131 پیگیری میشوند، هیچگونه بهروزرسانی امنیتی فراهم نکرده بود. سیسکو این آسیبپذیریها را در نسخه 4.22 Service Pack 1 از Cisco Security Manager که اخیرا منتشر کرده است، رفع نموده است. توصیه میشود، مدیران این به روزرسانی امنیتی را هرچه سریعتر اعمال نمایند.
منبع:
بهروزرسانی امنیتی ماه دسامبر مایکروسافت شامل وصلههایی برای رفع 58 #آسیبپذیری در محصولات مختلف این شرکت و یک توصیه امنیتی است. از میان 58 آسیبپذیری رفع شده در به روزرسانی امنیتی اخیر مایکروسافت، 9 مورد جزء آسیبپذیریهای بحرانی، 48 مورد جزء آسیبپذیریهای مهم و دو مورد جزء آسیبپذیریهای متوسط دستهبندی شدهاند. برای مطالعه بیشتر در خصوص آسیبپذیریهای رفع شده در این بهروزرسانی امنیتی اینجا کلیک نمایید.
نفوذگران ناشناس در حال بررسی فضای وب، جهت شناسایی وبسایتهایی با سیستم مدیریت محتوای وردپرس هستند که در پوستهی(Theme) آنها از Epsilon Framework استفاده شده است. این پوستهها که در بیش از 150،000 سایت نصب شدهاند و در معرض حملات Function Injection قرار دارد که اکسپلویت #آسیبپذیری های این پوستههای وردپرس منجر به تسلط کامل نفوذگر به سایت میشود. تاکنون بیش از 7.5 میلیون مورد حمله با هدف اکسپلویت آسیبپذیری این پوستههای وردپرس، از بیش از 18000 آدرس IPمختلف، به حدود 1.5 میلیون وبسایت وردپرسی، صورت گرفته است.
نسخههای ذیل از پوستههای وردپرسی آسیبپذیر هستند.
• Shapely <=1.2.7
• NewsMag <=2.4.1
• Activello <=1.4.0
• Illdy <=2.1.4
• Allegiant <=1.2.2
• Newspaper X <=1.3.1
• Pixova Lite <=2.0.5
• Brilliance <=1.2.7
• MedZone Lite <=1.2.4
• Regina Lite <=2.0.4
• Transcend <=1.1.8
• Affluent <1.1.0
• Bonkers <=1.0.4
• Antreas <=1.0.2
• NatureMag Lite <=1.0.5
حمله گسترده در حال وقوع علیه سایتهای وردپرسی، آسیبپذیریهای که اخیرا وصله شدند را هدف قرار داده است. با وجود اینکه آسیبپذیریها از نوع اجرای کد از راه دور هستند و مهاجم می تواند اختیار کل سیستم را در دست بگیرد، تاکنون بیشتر حملات با هدف شناسایی سایت دارای پوسته آسیبپذیر صورت گرفتهاند و هدف مهاجمان اکسپلویت آسیبپذیری نبوده است.
درصورتی که در وبسایت از یکی از این پوستههای آسیبپذیر استفاده شده باشد، باید هر چه سریعتر پوسته آسیبپذیر در وبسایت بهروزرسانی شود. همچنین اگر وصلهای برای پوسته آسیبپذیر وجود نداشته باشد، باید پوسته وردپرس تغییر یابد.
منابع
تیم توسعه دروپال بهروزرسانی امنیتی را برای رفع #آسیبپذیری اجرای کد از راه دور منتشر کرده است. این آسیبپذیری ناشی از عدم فیلتر(sanitize) دقیق نام فایلهای آپلودی میباشد. این آسیبپذیری که با شناسه CVE-2020-13671 پیگیری میشود، بر اساس سیستم امتیاز دهی استاندارد NIST Common Misuse Scoring System در دستهبندی شدت اهمیت بحرانی قرار دارد.
برای رفع این آسیبپذیری کافیست آخرین نسخه دروپال نصب شود.
• اگر از نسخههای سری 9.0 از دروپال استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 9.8.0 از دروپال بهروزرسانی کنید.
• اگر از نسخههای سری 8.9 از دروپال استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 8.9.9 از دروپال بهروزرسانی کنید.
• اگر از نسخه 8.8 از دروپال یا نسخههای قبلتر از این نسخه استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 8.8.11 از دروپال بهروزرسانی کنید.
• اگر از نسخههای سری 7از دروپال استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه7.74 بهروزرسانی کنید.
نسخههای سری 8 از دروپال که پیش از انتشار نسخههای 8.8.x منتشرشدهاند، منسوح شده هستند و تیم دروپال امنیت این نسخهها از دروپال را پشتیبانی نمیکند. تیم دروپال همچنین توصیه کرده است تا تمام فایلهایی که پیش از بهروزرسانی در سامانه آپلود شدهاند با هدف شناسایی پسوندهای مخرب بررسی شوند. به ویژه در جستوجوی فایلهایی با دو پسوند مانند filename.php.txt یا filename.html.gif باشید که شامل (_) در پسوند نباشند. در مواردی که فایلهای آپلود شده دارای یک یا چند پسوند از پسوندهای ذکر شده در ذیل باشد؛ لازم است، این فایل با دقت بیشتری بررسی شود.
• Phar
• phtml
• php
• pl
• py
• cgi
• asp
• js
• html
• htm
توجه کنید این لیست جامع نیست، بنابراین هر پسوند غیر مجازی با دقت بررسی شود.
منبع
#سیسکو در این هفته (24 لغایت 29 آبان) 24 مورد #آسیبپذیری را در چندین محصول خود رفع کرده است. اکسپلویت برخی از این آسیبپذیریها منجربه اجرای کد از راه دور و در اختیار گرفتن کنترل سیستم آسیبپذیر میشود. 4 مورد از این آسیبپذیریها دارای شدت اهمیت بحرانی، 7 مورد دارای شدت اهمیت بالا و 13 مورد دارای شدت اهمیت متوسط هستند.
سیسکو در حالی این بهروزرسانیها را منتشر کرده است که کد اکسپلویت proof-of-concept سه آسیبپذیری محصول Cisco Security Manage با شناسههای CVE-2020-27130،CVE-2020-27125 و CVE-2020-27131 پیش از ارائه بهروزرسانی به صورت آنلاین منتشر شده بود. این سه آسیبپذیری نسخههای پیش از نسخه 4.21 از Cisco Security Manager را تحت تاثیر قرار میدهند و در نسخه 4.22 و نسخههای بعد از آن رفع شدهاند. برای مطالعه لیست آسیبپذیریهای بهروزرسانی شده اینجا کلیک نمایید.
Citrix هفته گذشته طی اطلاعیه از وجود سه #آسیبپذیری در پلتفرم Citrix SD-WAN Center خبر داد. اکسپلویت این باگها امکان اجرای کد از راه دور و کنترل شبکه را برای مهاجمان فراهم میآورند. این سه آسیبپذیری که با شناسه CVE-2020–8271، CVE-2020–8272 وCVE-2020–8273 پیگیری میشوند، هنوز امتیازی دریافت نکردهاند.
نسخههای زیر تحت تاثیر این آسیبپذیریها قرار دارند.
• نسخههای سریCitrix SD-WAN 11.2 قبل از نسخه 11.2.2
• نسخههای سریCitrix SD-WAN 11.1 قبل از نسخه 11.1.2b
• نسخههای سریCitrix SD-WAN 10.2.8 قبل از نسخه 10.2.8
توجه به این نکته ضروریست که بقیه نسخههای Citrix SD-WAN Center منسوخ شده اند و دیگر پشتیبانی نمی شوند.
در دو مورد اول، نفوذگران برای اکسپلویت آسیبپذیری باید بتوانند با SD-WAN Center’s Management IP address یا fully qualified domain name (FQDN) ارتباط برقرار کنند و برای اکسپلویت آسیبپذیری سوم نیاز است تا نفوذگر احراز هویت شده باشد.
در آسیبپذیری اول با شناسه CVE-2020–8271، کاربر احراز هویت نشده، می تواند پیمایش مسیر انجام داده و کدهای دلخواه خود را از راه دور با امتیاز Root اجرا نماید. آسیبپذیری دوم (CVE-2020–8272) که ناشی از ضعف افشا عملکرد (functionality) است؛ منجر به دور زدن احراز هویت میشود و آخرین آسیبپذیری (CVE-2020–827) نیز امکان ترفیع امتیاز به کاربرRoot را برای کاربر احراز هویت شده فراهم میآورد.
این باگها در نسخههای زیر از Citrix SD-WAN Center رفع شده است. توصیه میشود که کاربران محصولات آسیبپذیر هرچه سریعتر این محصولات را بهروزرسانی نمایند.
• نسخه 11.2.2 از Citrix SD-WAN و نسخههای بعد از آن، از سریCitrix SD-WAN 11.2
• نسخه 11.1.2b از Citrix SD-WAN و نسخههای بعد از آن، از سریCitrix SD-WAN 11.1
• نسخه 10.2.8 از Citrix SD-WAN و نسخههای بعد از آن، ازCitrix SD-WAN 10.2
منابع