اخبار
شرکت #سیسکو اخیراً به منظور وصله چندین #آسیبپذیری در محصولات خود بهروزرسانیهایی را منتشر نموده است؛ در این بین یک مجموعه از محصولات سیسکو دارای دو آسیبپذیری با شدت بحرانی 9.8 از 10 و سایر موارد دارای شدت بالا یا متوسط هستند. بهرهبرداری موفقیتآمیز از این آسیبپذیریها منجر به اجرای کد دلخواه از راه دور بر روی دستگاههای آسیبپذیر، افشای اطلاعات حافظه و یا reload شدن ناگهانی روتر خواهد شد. در جدول زیر اطلاعات مختصری از آسیبپذیریهای مهم این بهروزرسانی آورده شده است.
با توجه به اینکه به جز آسیبپذیری مربوط به ConfD، هیچگونه روش موقتی جهت کاهش مخاطرات آسیبپذیریهای مذکور منتشر نشده است توصیه میشود در اسرع وقت نسبت به بهروزرسانی سیستمهای آسیبپذیر اقدام کنید.
جهت مشاهدهی فهرستی از آسیبپذیریهای اخیر محصولات سیسکو به پیوند زیر مراجعه کنید:
https://tools.cisco.com/security/center/publicationListing.x
جزییات فنی و Advisory مربوط به هر آسیبپذیری:
شرکت VMware در بهروزرسانی اخیر خود دو #آسیبپذیری را در محصولات خود وصله کرده است. توصیه میشود در اسرع وقت نسبت به بهروزرسانی محصولات آسیبپذیر اقدام کنید.
آسیبپذیری با شناسه CVE-2021-22002 و شدت بالای 8.6 از 10 ناشی از عدم ارزیابی کافی ورودی کاربر در محصولات آسیبپذیر بوده و به مهاجم امکان اجرای حملات SSRF از راه دور را میدهد. آسیبپذیر دیگر با شناسه CVE-2021-22003 شدت پایینی دارد (3.7 از 10). محصولات زیر تحت تاثیر میباشند:
- VMware Workspace One Access (Access)
- VMware Identity Manager (vIDM)
- VMware vRealize Automation (vRA)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager
با توجه به شدت بالای آسیبپذیری CVE-2021-22002 در صورتی که امکان بهروزرسانی محصولات آسیبپذیر به آخرین نسخه وجود ندارد، توصیه میشود راهکارهای موقت موجود در پیوند زیر را اعمال کنید:
https://kb.vmware.com/s/article/85255
جهت اطلاع از جزییات این آسیبپذیریها به پیوند زیر مراجعه کنید:
https://www.vmware.com/security/advisories/VMSA-2021-0016.html
اخیراً فهرست آسیبپذیریهایی که در سال 2020 مرتباً تحت بهرهبرداری فعال قرار داشتند و همچنین آسیبپذیریهایی که از آغاز سال 2021 تا کنون بهرهبرداری فعال از آنها مشاهده شده است توسط مرکز CISA منتشر شده است. سیستمهای آسیبپذیر در سازمانها میتوانند با اعمال وصلههای منتشر شده یا پیادهسازی یک سیستم مدیریت وصله، مخاطرات مربوط به این آسیبپذیریها را کاهش دهند. اکثر آسیبپذیریهای معرفی شده، با اعمال بهروزرسانیهای منتشر شده رفع خواهند شد. در صورتی که امکان اعمال کلیه وصلههای منتشر شده در سیستم آسیبپذیر وجود ندارد، توصیه میشود وصلهها ابتدا برای آسیبپذیریهایی که قبلاً مورد بهرهبرداری قرار گرفتهاند یا سیستمهای در معرض خطر بالقوه مانند سیستمهای قابل دسترس از طریق اینترنت، اعمال شوند.
جزییات آسیبپذیریها
فهرستی از آسیبپذیریهایی که در سال 2020 بیشترین بهرهبرداری فعال از آنها مشاهده شده است، در زیر آورده شدهاند. در بین این موارد، بیشترین آسیبپذیری استفاده شده در حملات، آسیبپذیری CVE-2019-19781 بود:
پروتکل Netlogon مایکروسافت
آسیبپذیری ارتقاء سطح دسترسی با شناسه CVE-2020-1472 و شدت بحرانی 10.0
اطلاعات بیشتر: https://cert.ir/news/13110
محصول F5- Big IP
آسیبپذیری اجرای کد از راه دور با شناسه CVE-2020-5902 و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/13081
سیستم مدیریت محتوای Drupal
آسیبپذیری اجرای کد از راه دور با شناسه CVE-2018-7600 و شدت بحرانی 9.8
اطلاعات بیشتر: https://www.drupal.org/sa-core-2018-002
محصول Citrix Application Delivery Controller (ADC)
آسیبپذیری اجرای کد دلخواه با شناسه CVE-2019-19781 و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/12899
محصول Pulse Connect Secure (PCS)
آسیبپذیری خواندن فایل دلخواه با شناسه CVE-2019-11510 و شدت بحرانی 10.0
اطلاعات بیشتر: https://cert.ir/news/13093
محصول Fortinet FortiOS
آسیبپذیری پیمایش مسیر با شناسه CVE-2018-13379 و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/13197
محصول Microsoft SharePoint
آسیبپذیری اجرای کد از راه دور با شناسه CVE-2019-0604و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/12677
سیستمعامل ویندوز
آسیبپذیری ارتقاء سطح دسترسی با شناسه CVE-2020-0787 و شدت بالا 7.8
اطلاعات بیشتر: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-0787
علاوه بر وصلهی آسیبپذیریهای فوق، وصلهی آسیبپذیریهایی که در سال 2021 تحت بهرهبرداری قرار گرفتهاند نیز باید در دستور کار قرار گیرد. از این موارد میتوان به آسیبپذیری در محصولات زیر اشاره کرد:
- آسیبپذیریهای مربوط به سرور Exchange مایکروسافت:
CVE-2021-26855، CVE-2021-26857، CVE-2021-26858 و CVE-2021-27065، CVE-2020-0688
- آسیبپذیریهای محصولات Pulse Secure:
CVE-2021-22893، CVE-2021-22894، CVE-2021-22899 و CVE-2021-22900
- آسیبپذیری در vSphere Client محصول VMware:
CVE-2021-21985
- آسیبپذیریهای مربوط به Fortinet FortiOS:
CVE-2018-13379، CVE-2020-12812 و CVE-2019-5591
طبق تحقیقات منتشر شده، سازمانهای دولتی و خصوصی در سراسر جهان بیشتر در معرض مخاطرات این آسیبپذیریها قرار دارند. یکی از موثرترین راهکارهای کاهش مخاطرات این آسیبپذیریها و جلوگیری از نفوذ گروههای تهدید مانند APTها، نصب و اعمال وصلههای امنیتی در سریعترین زمان ممکن و یا بکارگیری راهکارهای موقت ارائه شده است.
مرجع
Node.js یک محیط اجرای جاوا اسکریپت back-end است که در موتور V8 اجرا شده و منجر به اجرای کد جاوا اسکریپت در خارج از مرورگر خواهد شد. اخیراً Node.js یک بهروزرسانیهای امنیتی برای وصله #آسیبپذیری use-after-free شدت بالا با شناسه CVE-2021-22930 منتشر کرد. این آسیبپذیری بر نحوه مدیریت درخواستهای HTTP2 تاثیر گذاشته و کلیه نسخههایx.16،x.14 وx.12 از Node.js را تحت تاثیر خود قرار میدهد. با توجه به اهمیت این آسیبپذیری توصیه میشود هرچه سریعتر نسبت به بهروزرسانی محصولات آسیبپذیر اقدام شود. نسخههای 16.6.0، 12.22.4 (LTS) و 14.17.4 (LTS) نسخههای حاوی وصله هستند. این نسخهها از لینکهای زیر قابل دریافت هستند:
https://nodejs.org/en/blog/release/v14.17.4/
بهرهبرداری از این آسیبپذیری میتواند منجر به اختلال در فرآیندها، ایجاد رفتارهای غیرمنتظره شامل خرابی برنامه و اجرای کد از راه دور شود.
در حال حاضر هیچگونه روشی جهت کاهش مخاطرات این آسیبپذیری منتشر نشده است.
لازم به ذکر است Red Hat شدت این آسیبپذیری را 9.1 تعیین کرده است. جهت دریافت اطلاعات بیشتر در مورد این آسیبپذیری به لینک زیر مراجعه کنید:
مراجع
https://www.ehackingnews.com/2021/08/nodejs-pushes-out-immediate-fixes-for.html
https://access.redhat.com/security/cve/CVE-2021-22930#cve-faq
وجود آسیب پذیری از نوع RCE با شناسه CVE-2021-36394 و شدت خطر بحرانی در پلت فرم آموزشی Moodle.
در صورت بهره برداری موفق از این #آسیبپذیری، نفوذگر این امکان را دارد تا به اطلاعات دانشجویان مانند: اطلاعات کاربری، نتایج آزمون و غیره دسترسی داشته و حتی آنها را تغییر دهد. این آسیب پذیری از یک ماژول مکانیزم احراز هویت با نام shibboleth نشات می گیرد که به صورت پیش فرض غیر فعال است.
نسخه های آسیب پذیر
راه حل
به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا پلت فرم مورد استفاده خود را به آخرین نسخه به روز نمایند.
منبع
اخیراً یک نقص امنیتی در سیستمعاملهای ویندوزی یافت شده که به موجب آن مهاجم قادر است سیستمهای ویندوزی آسیبپذیر به طور خاص ویندوز سرورها را هدف قرار داده و کنترل آن را بدست گیرد:
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2016
- Windows Server, version 20H2
- Windows Server, version 2004
- Windows Server 2019
این حمله که یک نوع حملهی NTLM relay میباشد، به نام PetitPotam شناخته شده است. بهطور کلی مهاجمان در حمله PetitPotam، از سرویسهای موجود در دامنه که از احراز هویت NTLM استفاده میکنند و در برابر حملات NTML relay محافظت نشدهاند، بهرهبرداری میکند.
#مایکروسافت برای جلوگیری از این نوع حملات توصیه کرده است تا در سیستمها به خصوص DCهایی که احراز هویت NTLM مورد استفاده قرار نگرفته است، NTLM غیرفعال شود؛ در صورت عدم امکان غیرفعالسازی، مدیران دامنه باید اطمینان حاصل کنند که هر سرویسی که از احراز هویت NTLM استفاده میکند با استفاده از مکانیزم EPA (Extended Protection for Authentication) یا SMB signing در برابر حملات مورد بحث و سرقت اعتبارنامهی سیستمهای ویندوزی محافظت شده است.
به عنوان مثال یکی از سرویسهایی که بهطور پیشفرض از احراز هویت NTLM استفاده میکند سرویس certificate اکتیو دایرکتوری یا ADCS (Active Directory Certificate Service) است که میتواند در این حملات مورد بهرهبرداری قرار گیرد. برای اطلاع از جزییات چگونگی محافظت از سرورهای ADCS در برابر حملات مذکور و کاهش مخاطرات آن، به پیوند زیر مراجعه کنید:
به گفتهی مایکروسافت در صورتی که احراز هویت NTLM در دامنه فعال بوده و Certificate Service موجود در اکتیو دایرکتوری یا AD CS به همراه هر یک از سرویسهای زیر استفاده شود، سیستم آسیبپذیر است:
- Certificate Enrollment Web Service
- Certificate Authority Web Enrollment
در اکثر موارد احراز هویت NTLM در شبکه فعال است و سرورهای AD CS نیز به طور پیشفرض در برابر حملات NTLM relay محافظت نشدهاند. با توجه به اینکه اجرای موفق این حمله میتواند منجر به تحت کنترل گرفتن DC و در آخر کل شبکه سازمان شود، توصیه میشود در اسرع وقت نسبت به مقاومسازی سرویسها و سرورهای موجود در دامنه که از احراز هویت NTLM استفاده میکنند، اقدام کنید.
مراجع
https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
شرکت Adobe بهروزرسانیهایی را به منظور وصله چندین #آسیبپذیری در محصولات خود منتشر کرده است. توصیه میشود در اسرع وقت نسبت به بهروزرسانی محصولات آسیبپذیر اقدام شود.
این آسیبپذیریها محصولات زیر را تحت تاثیر خود قرار میدهند:
- Adobe Photoshop
- Adobe Audition
- Adobe Character Animator
- Adobe Prelude
- Adobe Premiere Pro
- Adobe After Effects
- Adobe Media Encoder
- Adobe Bridge
- Adobe Acrobat and Reader
- Adobe Framemaker
- Adobe Illustrator
- Adobe Dimension
در جدول زیر برخی از آسیبپذیریهای شدت بالا موجود در دو محصول پرکاربرد Adobe آورده شده است:
جهت کسب اطلاعات بیشتر در مورد سایر آسیبپذیریهای موجود در محصولات Adobe که در این بهروزرسانی وصله شدهاند به پیوند زیر مراجعه کنید:
شرکت Atlassian از وجود یک #آسیبپذیری بحرانی در نسخهی 6.3.0 محصولات Jira Data Center، Jira Core Data Center، Jira Software Data Center و Jira Service Management Data Center خبر داده است. این آسیبپذیری که از وجود امکان دسترسی نامحدود به پورتهای Ehcache RM ناشی میشود، امکان اجرای کد از راه دور بر روی سیستم آسیبپذیر را برای مهاجم فراهم میکند. محصولات آسیبپذیر آورده شده در جدول زیر سرویس Ehcache RMI را در پورتهای 40001 و احتمالاً 40011 اجرا کرده و در معرض دسترس مهاجمان قرار میدهند. مهاجمان میتوانند از راه دور به این پورتها متصل شده و به اجرای کد دلخواه بر روی محصولات آسیبپذیر Jira بپردازند.
با توجه به اینکهAtlassian از این آسیبپذیری به عنوان آسیبپذیری بحرانی یاد کرده است، توصیه میشود در اسرع وقت نسبت به بهروزرسانی محصولات آسیبپذیر اقدام کنید؛ همچنین توصیه میشود دسترسی به پورتهای Ehcache RMI (40001 و احتمالاً 40011) محدود شود.
در صورت عدم امکان بهروزرسانی، دسترسی به پورتهای گفته شده را با استفاده از فایروال یا فناوریهای مشابه محدود کنید.
برای اطلاع از جزییات نسخههای آسیبپذیر به هشدار منتشر شده توسطAtlassian به آدرس زیر مراجعه کنید:
وجود چندین #آسیبپذیری در سرویسدهنده WebLogic Oracle که به مهاجم احراز هویتنشده این امکان را میدهد تا با دسترسی به شبکه قربانی از این آسیبپذیریها سوءاستفاده نماید. بهره برداری موفق از این آسیبپذیری ها به مهاجم این امکان را میدهد تا کنترل سرویس دهنده WebLogic را در دست گرفته و به اطلاعات موجود در سرویسدهنده دسترسی کامل داشته باشد. دسترسی مهاجم به شبکه قربانی میتواند از طریق سه پروتکل ارتباطی http, T3, IIOP صورت پذیرد. بحرانی ترین آسیب پذیری انتشار یافته با شناسه CVE-2019-2729 شناخته شده است که به نفوذگر راه دور این امکان را می دهد تا بدون احراز هویت از این آسیب پذیری سوءاستفاده نماید.
لیست آسیب پذیری ها به همراه نسخه آسیب پذیر و شدت خطر
به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا سرویس دهنده Oracle WebLogic را توسط وصله های امنیتی منتشر شده وصله نموده و سرویس دهنده خود را به آخرین نسخه به روز نمایند.
منبع
در تاریخ 24 تیر ماه 1400، woocommerce از وجود یک #آسیبپذیری بحرانی در برخی نسخههای این افزونهی وردپرسی محبوب و پرکاربرد خبر داد. این آسیبپذیری که از نوع تزریق دستور SQL میباشد برای مهاجم احراز هویت نشده امکان اجرای کد بر روی وبسایت فروشگاهی آسیبپذیر را فراهم میکند. افزونههای تحت تاثیر به شرح زیر است:
- نسخههای ۳.۳ تا ۵.۵.۰ افزونه WooCommerce
- نسخههای ۲.۵ تا ۵.۵.۰ افزونهی woocommerce blocks
با توجه به اینکه بهرهبرداری از این آسیبپذیری در برخی حملات محدود و هدفمند مشاهده شده است، به مدیران وبسایتهای وردپرسی اکیداً توصیه میشود، هر چه سریعتر نسبت به بهروزرسانی این افزونه به آخرین نسخه (5.5.1) یا حذف آن اقدام نمایند.
برای اطلاع از جزییات حملات محدود و هدفمند مورد بحث و ملاحضات امنیتی بیشتر به پیوند زیر مراجعه کنید:
مراجع
