‫ اخبار

بر اساس گزارش تیم Imperva، بات نت KashmirBlack به طور گسترده پلت فرم های مدیریت محتوای پرکاربرد را آلوده می کند. این #‫بات‌نت با سوءاستفاده از چندین #‫آسیب‌پذیری شناخته شده بر روی سرور قربانی، بطور میانگین میلیون ها حمله را هر روزه و بر روی چندین هزار قربانی در بیش از 30 کشور انجام می دهد.
در این گزارش محققان Imperva پیاده سازی و سیر تکامل این بات نت خطرناک را از ماه نوامبر 2019 تا پایان ماه می 2020 میلادی بررسی کرده اند. در این تحقیق چگونگی استفاده بات نت از سرویس های ابری همچون Github، Pastebin و Dropbox به منظور کنترل و مخفی کردن عملیات بات نت و چگونگی نفوذ آن به ماینر ارزهای دیجیتالی و deface یک سایت گفته شده است. برای مطالعه در خصوص نشانه های حمله اینجا کلیک کنید.

در هفته گذشته شرکت #‫سیسکو چندین به‌‌روزرسانی‌ را در راستای رفع #‫آسیب‌پذیری ‌های محصولات خود ارائه کرده است. مهاجمان می‌توانند، برخی از این آسیب‌پذیری‌ها را از راه دور اکسپلویت کرده و کنترل سیستم‌های آسیب‌پذیر را به دست بگیرند. در پیوست لیست محصولات Cisco که برای آنها به‌روزرسانی ارائه شده، به همراه نوع آسیب‌پذیری‌ها آنها آورده شده است. توصیه می‌شود کاربران محصولات آسیب‌پذیر با مراجعه به سایت سیسکو محصول خود را به‌روزرسانی نمایند.

شرکت #‫اوراکل در گزارش 3 ماهه اخیر خود، 402 مورد #‫آسیب‌پذیری را که بیش از نیمی از آن‌ها بدون نیاز به احراز هویت و از راه دور قابل بهره‌برداری هستند، رفع کرده است. از این میان دو مورد از آسیب‌پذیری‌ها بر اساس استاندارد CVSS دارای بالاترین شدت اهمیت بوده و دارای امتیاز 10 از 10هستند.
در به‌روزرسانی اکتبر، آسیب‌پذیری‌های 27 محصول اوراکل رفع شده ‌است که تعدادی از این محصولات مهم اوراکل که در معرض بیشترین آسیب‌پذیری‌ها قرار دارند، در جدول 1 نمایش داده شده است. توصیه می‌‌شود، مشتریان محصولات اوراکل با مراجعه به مستندات مربوط به اصلاحیه‌های موجود اقدام به رفع آسیب‌پذیری نمایید.

شرکت اوراکل به ‌صورت پیوسته در حال دریافت گزارش‌هایی مبنی بر تلاش برای بهره‌برداری از این آسیب‌پذیری‌ها که به‌روزرسانی آنها اخیرا ارائه شده، بوده است. در برخی موارد، به دلیل عدم اعمال به‌روزرسانی‌ها از طرف کاربر، اکسپلوست موفقیت‌آمیز از این آسیب‌پذیری‌ها نیز گزارش ‌شده است. بنابراین به شدت توصیه می‌شود که مشتریان از نسخه به‌روز که پشتیبانی می‌شوند، استفاده کرده و به‌روزرسانی‌ها را هرچه سریعتر اعمال کند.
دو مورد از این آسیب‌پذیری ها که دارای شدت 10 هستند، بسیار خطرناک می‌باشند. اولین آسیب‌پذیری با شناسه CVE-2020-1953 است که بدون نیاز به احراز هویت و تعامل با کاربر می‌تواند از راه دور بهره‌برداری شود. این آسیب‌پذیری در المان Self Service Analytics از محصول Oracle Healthcare Foundation قرار دارد و نسخه‌های 7.1.1، 7.2.1، 7.2.0 و 7.3.0 را تحت تاثیر قرار می‌دهد.
دومین آسیب‌پذیری با شناسه CVE-2020-14871 در ماژول Pluggable authentication module از محصول Oracle Solaris است. این آسیب‌پذیری بدون نیاز به احراز هویت و دخالت کاربر می‌تواند از راه دور اجرا شود و این حمله بر اساس معیارهای استاندار CVSS یک حمله با پیچیدگی کم (low-complexity) محسوب می‌شود و نسخه‌های 10 و 11 را تحت تأثیر قرار می‌دهد.
لازم است توجه شود که 67 مورد از آسیب‌پذیری‌های رفع شده در به‌روز‌رسانی اخیر بر اساس CVSS امتیاز 9.8 را دارند.
برای حملاتی که مستلزم مجوز یا دسترسی به پکیج خاصی هستند، شرکت اوراکل توصیه می‌کند تا مجوزها و دسترسی کاربرانی که نیازی به این مجوزها ندارند، حذف گردد. این عمل به کاهش ریسک ناشی از حملات موفق کمک خواهد کرد. با این‌ حال این دو رویکرد ممکن است در عملکرد برنامه خللی ایجاد کند پس اوراکل این رویکردها را به ‌عنوان راه‌حل بلندمدت توصیه نمی‌کند.
توصیه می‌شود کاربران با توجه به خطرات ناشی از حملات به آسیب‌پذیری‌های رفع شده، هرچه سریع‌تر اقدام به رفع آسیب‌پذیری سه ماه اخیر نمایند. به‌روزرسانی‌های سه ‌ماهه قبلی در آوریل منجر به رفع 405 مورد آسیب‌پذیری در خط تولید شرکت گردیده است. چندین آسیب‌پذیری out-of-band نیز به‌روزرسانی شده است؛ برای مثال، در ژوئن شرکت اوراکل هشداری مبنی بر آسیب‌پذیری بحرانی اجرای کد از راه در WebLogic Server اعلام کرده که به ‌صورت گسترده بهره‌برداری شده است.
منابع

سازندگان دستگاه‌های ذخیره‌سازNAS هشدار داده‌اند که برخی از دستگاه‌های NAS که از نسخه‌های آسیب‌پذیر سیستم‌عامل QTS استفاده می‌کنند، در معرض حمله قرار دارند. ضعف این سیستم‌عامل از #‫آسیب‌پذیری بحرانی Windows ZeroLogon با شناسه CVE-2020-1472 منشاء گرفته است.
بنا به توضیحات QNAP (سازنده دستگاه ذخیره‌سازNAS) بهره‌برداری موفق از آسیب‌پذیری مذکور منجر به ارتقاء سطح دسترسی می‌شود که این امر به مهاجمان راه دور اجازه می‌دهد تا از طریق سیستم‌عامل QTS آسیب‌پذیر، المان‌های امنیتی را دور بزنند.
دستگاه NAS که به‌عنوان دامین کنترلر تنظیم شده‌اند در معرض این آسیب‌پذیری قرار دارند. از مسیر ذیل می‌توان این تنظیم را انجام داد.
Control Panel > Network & File Services > Win/Mac/NFS > Microsoft Networking
علی رغم اینکه، دستگاه‌های NAS به‌طورمعمول به‌عنوان دامین کنترلر استفاده نمی‌شوند اما برخی سازمان‌ها از آن به‌عنوان یک دامین کنترلر ویندوز استفاده می‌کنند.
با توجه به اینکه، اگر سرور NAS LDAP در دستگاه NAS اجرا شود، نمی‌توان دستگاه‌های NAS را به‌عنوان دامین کنترلر استفاده کرد؛ بنابراین، سرورهای NAS LDAP به‌صورت پیش‌فرض از حملات ZeroLogon محفوظ هستند.
توصیه می‌شود که مشتریان QNAP سیستم‌عامل QTS را در دستگاه‌های NAS به‌روزرسانی نمایند تا بتوانند از حملات ZeroLogon مصون بمانند. بر اساس بیانیه QNAP، نسخه‌های QTS 2.x و QES از سیستم عامل QTS تحت تأثیر این آسیب‌پذیری قرار ندارند و مشکل در نسخه‌های زیر رفع شده است.
• QTS 4.5.1.1456 ساخت 20201015 و بعدتر
• QTS 4.5.1.1439 ساخت 20200925 و بعدتر
• QTS 4.5.1.1446 ساخت 20201929 و بعدتر
• QTS 4.5.1.1463 ساخت 20201006 و بعدتر
• QTS 4.5.1.1432 ساخت 20201006 و بعدتر
کابران برای نصب آخرین به‌روزرسانی QTS بایستی به‌صورت دستی سیستم‌عامل را از QNAP دانلود کنند یا به ‌صورت خودکار مسیر ذیل را دنبال نمایند:
1. به پنل مدیریتی QTS بروید.
2. به مسیر Control Panel > System > Firmware Update بروید.
3. در قست Live Update به گزینه Check for Update کلیک نمایید. (آخرین نسخه QTS دانلود و نصب می‌شود.)
برای به‌روزرسانی تمامی برنامه‌های نصب‌شده در NAS، کاربران بایستی از مسیرهای گفته‌شده در بخش توصیه‌ها اقدام کنند.
اخیراً QNAP دو آسیب‌پذیری بحرانی را در برنامه Helpdesk رفع کرده است که به مهاجم این اجازه را می‌داد تا کنترل دستگاه‌های unpatched را در اختیار بگیرد. همچنین یک بیانیه برای هشدار در مورد باج افزاری که دستگاه‌های NAS را مورد هدف قرار می‌دهد، ارائه کرده است.
منابع

سیسکو در 20 اکتبر گزارشی مبنی بر حملات گسترده به #‫آسیب‌پذیری با شناسه CVE-2020-3118 و شدت اهمیت بحرانی ارائه کرده است. این حملات روترهای کلاس حامل (Carrier-grade) که اجرای نرم‌افزارCisco IOS XR را بر عهده دارند، تحت تأثیر قرار می‌دهد. در تاریخ 5 فوریه سال جاری میلادی شرکت Cisco یک به‌روزرسانی مربوط به این آسیب پذیری منتشر کرده است که ناشی از نحوه پیاده‌سازیCisco Discovery Protocol در نرم‌افزار Cisco IOS XR است. مهاجم هایی که در شبکه مجاور (adjacent) با سیستم آسیب پذیر هستند با بهره برداری از این آسیب پذیری می‌تواند کدهای دلخواه خود را اجرا کرده یا به دستگاه‌های آسیب پذیر بار اضافی، تحمیل کند.
مهاجمان با ارسال بسته آلوده Cisco Discovery Protocol به دستگاه‌های در حال اجرای نسخه آسیب‌پذیر IOS XR می‌توانند از آسیب‌پذیری مذکور بهره‌برداری نمایند. بهره‌برداری موفقیت‌آمیز این آسیب‌پذیری باعث سرریز پشته می‌گردد و این امر منجر به اجرای کدهای دلخواه در سطح ادمین در دستگاه هدف می‌شود. این آسیب‌پذیری ناشی از اعتبارسنجی ناقص رشته‌های ورودی در فیلدهای خاص پیام‌های Cisco Discovery Protocol است.
بااینکه آسیب‌پذیری Cisco Discovery Protocol Format String منجربه اجرای کد از راه دور می‌شود ولی مهاجمان احراز هویت نشده تنها اگر در شبکه‌ای مجاور (لایه 2) دستگاه‌های آسیب‌پذیر باشند، می‌توانند از آسیب پذیری بهره‌برداری ‌کنند.
این آسیب‌پذیری چندین محصول Cisco را با دو شرط ذیل تحت تأثیر قرار می‌دهد. اولا Cisco Discovery Protocol برای حداقل یکی از رابط‌هاکاربری به ‌صورت عمومی (globally) فعال ‌شده باشند و ثانیا در محصول نسخه آسیب‌پذیر نرم‌افزار Cisco IOS XR استفاده شده باشد. این آسیب‌پذیری همچنین روترهای دیگری را که دو شرط بالا در آنها صدق کند، را نیز تحت تاثیر قرار میدهد. نام محصولات سیسکو که تحت تاثیر این آسیب پذیری هستند:

توصیه تیم امنیتی مرکز ماهر بر این است که برای رفع این آسیب‌پذیری از به‌روزرسانی‌های منتشرشده Cisco استفاده نمایید.
منابع

گوگل در راستای رفع 5 مورد #‫آسیب‌پذیری، نسخه پایدار کروم (86.0.4240.111) را منتشر کرده است. که یکی از این آسیب‌پذیری‌ها با شناسه CVE-2020-15999 به‌صورت گسترده در حال بهره‌برداری است.
کاربران نسخه‌های دسکتاپی ویندوز، مک و لینوکس می‌توانند با مراجعه به مسیر زیر نسخه کروم خود را ارتقاء بدهند.
Settings, Help, About Google Chrome
بنا به گفته ارشد تیم Project Zero، این تیم آسیب‌پذیری روز صفرمی را در FreeType شناسایی و گزارش کرده است که برای حمله به کروم مورد استفاده قرار می‌گیرد. با وجود اینکه، فقط شواهدی از بهره‌برداری از کروم دیده‌ شده است؛ دیگر کاربران FreeType نیر بایستی اصلاحیه ذکرشده نرم‌افزار FreeType در https://savannah.nongnu.org/bugs/?59308 را نصب کنند یا نسخه 2.10.4 فاقد آسیب پذیری را اعمال نمایند.
تیم Project Zero، آسیب‌پذیری روز صفر Heap buffer overflow در کتابخانه FreeType را در تاریخ 19 اکتبر گزارش کرده‌اند که این آسیب‌پذیری در تابع Load_SBit_Png که تصاویر PNG موجود (embeded) در فونت‌ها را پردازش می‌کند، قرارگرفته است.
گوگل همچنین سه مورد آسیب‌پذیری با درجه اهمیت بالا و یک مورد با درجه اهمیت معمولی را برای نسخه 86.0.4240.111 کروم رفع کرده است:
• CVE-2020-16000
• CVE-2020-16001
• CVE-2020-16002
• CVE-2020-16003
منبع:

در مرورگرهای دسکتاپی چندین قابلیت و ویژگی برای شناسایی تغییرات در URL موجود است؛ اما این امکانات امنیتی در مرورگرهای موبایلی به دلیل اندازه کوچک صفحه‌نمایش و عدم وجود برخی از ویژگی‌های امنیتی، موجود نیست. ده مورد از این #‫آسیب‌پذیری که به وب‌سایت آلوده این امکان را می‌دهد تا URL جایگزینی را بجای URL واقعی وب‌سایت به کاربر نمایش دهد، در 7 مرورگر موبایلی نام‌آشنا، از قبیل Apple Safari، Opera Touchو Opera Mini و مرورگرهای دیگری همچون Bolt، RITS، UC Browserو Yandex Browserدیده می‌شود. در اوایل سال جاری میلادی این موارد شناسایی و در ماه اگوست به سازندگان مرورگرها اعلان شد. سازندگان نام‌آشنا به‌صورت آنی وصله‌های لازم را ارائه دادند ولی سازندگان دیگر هیچ اقدامی در این خصوص انجام ندادند. در پیوست لیست آسیب‌پذیری جهت مطالعه بیشتر، آورده شده است.

#‫باج‌افزار Ryuk با هدف قرار دادن سازمان‌های بزرگ در سراسر جهان شناخته شده است که اغلب بوسیله بدافزارهای شناخته شده‌ای مانند Emotet و TrickBot توزیع و منتشر می‌شود. این باج‌افزار اولین بار در آگوست سال 2018 کشف شد و از آن زمان به بعد سازمان‌های مختلفی را آلوده و میلیون‌ها دلار از قربانیان سرقت کرده است.
تجزیه و تحلیل‌ها نشان می‌دهد که Ryuk نتیجه توسعه سفارشی یک بدافزار قدیمی به نام Hermes است. اخیرا محققان از ارتباط Ryuk با آسیب‌پذیری خطرناک Zerologon پرده برداشتند. Zerologon یک آسیب‌پذیری خطرناک است که با شناسه "CVE-2020-1472" شناخته می‌شود، این آسیب‌پذیری به دلیل نقص در فرآیند ورود به سیستم است که به مهاجم اجازه می‌دهد با استفاده از پروتکل Netlogon یا Netlogon Remote Protocol (MS-NRPC)، اتصال یک کانال آسیب‌پذیر Netlogon را با یک کنترل‌کننده دامنه برقرار کند.
بر اساس گزارش DFIR، مهاجمان از طریق بدافزار Bazar Loader به محیط دسترسی نفوذ می‌کنند. در این حمله جدید، مهاجمان سریعتر به هدف خود می‌رسند اما تاکتیک‌ها و تکنیک‌های کلی با حملات قبلی مشابه است. در این باج‌افزار، مهاجمان به عنوان یک کاربر عادی با دسترسی محدود شروع به کار کرده و با بهره‌برداری از آسیب‌پذیری Zerologon به کنترل‌کننده دامنه اصلی دسترسی پیدا می‌کنند. اقدامات جانبی به کار گرفته شده از طریق انتقال فایل SMB و اجرای WMI انجام می‌شوند و هنگامی که به کنترل‌کننده دامنه ثانویه منتقل می‌شوند، عاملان تهدید دامنه بیشتری را از طریق Net و ماژول PowerShell Active Directory شناسایی می‌کنند. مهاجمان با اجرای باج‌افزار بر روی کنترل‌کننده دامنه اصلی، هدف خود را به پایان می‌رسانند. جهت مقابله با این بدافزار، باید اطمینان حاصل شود که وصله منتشر شده مایکروسافت در شبکه اعمال شود.

منبع

https://gbhackers.com/ryuk-ransomware-attack-2

مایکروسافت به روزرسانی های جدیدی را در راستای اصلاح دو باگ‌ RCE (اجرای از راه دور کد) منتشر کرده است که این باگ ها، کدهای کتابخانه Codec و ویژوال استودیو را تحت تاثیر قرار می‌دهند. #‫آسیب‌پذیری های ذکرشده با شناسه های CVE-2020-17022 و CVE-2020-17023دارای درجه اهمیت بحرانی هستند و گزارشی از اکسپلبوت گسترده آن ها موجود نیست.
آسیب‌پذیری کتابخانه Codec ویندوز (آسیب پذیری با شناسه CVE-2020-17022)، همه دیوایس‌های در حال اجرای ویندوز 10 نسخه‌های 1709 یا پیشتر و نسخه‌های قدیمی‌تر کتابخانه Code را تحت تاثیر قرار می‌دهد.
بنا به بیانیه مایکروسافت، دستگاه ‌های ویندوز 10 در حالت پیش فرض آسیب‌پذیر نیستند. تنها کاربرانی که HEVC یا 'HEVC from Device Manufacturer' را از Microsoft Store نصب می کنند، ممکن است آسیب‌پذیر باشند.
برای بررسی به روز بودن HEVC می‌توانید از مسیر زیر پیش بروید؛ ابتدا به بخش Setting رفته و سپس بخش Apps & Features و HEVC را انتخاب نمایید و با کلیک Advanced Options می‌توانید از نسخه برنامه آگاه شوید. نسخه‌های ایمن عبارتند از: 1.0.32762.0، 1.0.32763.0 و نسخه های به روزتر.
مایکروسافت در ماه ژوئن دو مورد مشابه از این باگ ها را به روز رسانی کرده است که منجر به گمراهی کاربران در دریافت به‌روزرسانی‌ها می‌شد. (بدین صورت که بجای روش معمول به روزرسانی، این به روزرسانی ها از طریق فروشگاه مایکروسافت انجام می‌شد).
آسیب‌پذیری RCE مربوط به JSON ویژوال استودیو (آسیب پذیری با شناسه CVE-2020-17023) زمانی فعال می‌شود که کاربر فایل 'package.json' جعلی را باز می کند و این فایل مخرب منجر به اجرای کدهای از راه دور توسط مهاجم می‌شود. اگر در چنین شرایطی کاربر حق دسترسی ادمین داشته باشد، اکسپولیت این آسیب‌پذیری منجر به ایجاد یک کاربر مهاجم با دسترسی ادمین در ویندوز 10 آسیب پذیر می شود.
در واقع CVE-2020-17023 به روزرسانی امنیتی منتشرشده برای آسیب‌پذیری CVE-2020-16881(یک باگ RCE که مایکروسافت در هشتم سپتامبر سعی داشت، آن را اصلاح کند.) را دور می‌زند.
کاربران تحت تاثیر این آسیب پذیری ها لازم نیست که هیچ گونه اقدامی برای رفع این آسیب‌پذیری‌ها انجام دهند. به روزرسانی این محصولات به صورت خودکار از فروشگاه مایکروسافت دریافت می‌شوند، مگر اینکه به‌روزرسانی خودکار در ویندوز غیر فعال باشد که در این صورت کاربران می‌توانند به‌صورت دستی به روزرسانی ها را از فروشگاه مایکروسافت دریافت نمایند.
منبع

#‫آسیب‌پذیری موجود در رابط سرویس‏های وب نرم‏‌افزارهای (Cisco Adaptive Security Appliance (ASA وCisco Firepower Threat Defense (FTD)، این امکان را برای مهاجم احراز هویت نشده فراهم می‏آورد تا از راه دور حملات Directory Traversal انجام داده و به فایل‏های حساس سیستم هدف، دسترسی یابد. این آسیب‌پذیری با شناسه CVE-2020-3452 معرفی شده و براساس سیستم امتیاز دهی CVSSv3 دارای امتیاز 7.5 است.
این آسیب‌پذیری‌، به دلیل اعتبارسنجی نامناسب ورودی URLها در درخواست‌های HTTP رخ می‌دهد. هکرها برای حمله، درخواست‌های HTTP دستکاری شده را که شامل دنباله کاراکترهای پیمایش مسیر (Directory Traversal) می‌باشند به سیستم هدف ارسال می‌کنند. اکسپلویت آسیب‌پذیری، امکان مشاهده اسناد دلخواه هکر را در سیستم هدف فراهم می‌سازد. برای مطالعه بیشتر اینجا کلیک کنید.