بر اساس گزارش تیم Imperva، بات نت KashmirBlack به طور گسترده پلت فرم های مدیریت محتوای پرکاربرد را آلوده می کند. این #باتنت با سوءاستفاده از چندین #آسیبپذیری شناخته شده بر روی سرور قربانی، بطور میانگین میلیون ها حمله را هر روزه و بر روی چندین هزار قربانی در بیش از 30 کشور انجام می دهد.
در این گزارش محققان Imperva پیاده سازی و سیر تکامل این بات نت خطرناک را از ماه نوامبر 2019 تا پایان ماه می 2020 میلادی بررسی کرده اند. در این تحقیق چگونگی استفاده بات نت از سرویس های ابری همچون Github، Pastebin و Dropbox به منظور کنترل و مخفی کردن عملیات بات نت و چگونگی نفوذ آن به ماینر ارزهای دیجیتالی و deface یک سایت گفته شده است. برای مطالعه در خصوص نشانه های حمله اینجا کلیک کنید.
در هفته گذشته شرکت #سیسکو چندین بهروزرسانی را در راستای رفع #آسیبپذیری های محصولات خود ارائه کرده است. مهاجمان میتوانند، برخی از این آسیبپذیریها را از راه دور اکسپلویت کرده و کنترل سیستمهای آسیبپذیر را به دست بگیرند. در پیوست لیست محصولات Cisco که برای آنها بهروزرسانی ارائه شده، به همراه نوع آسیبپذیریها آنها آورده شده است. توصیه میشود کاربران محصولات آسیبپذیر با مراجعه به سایت سیسکو محصول خود را بهروزرسانی نمایند.
شرکت #اوراکل در گزارش 3 ماهه اخیر خود، 402 مورد #آسیبپذیری را که بیش از نیمی از آنها بدون نیاز به احراز هویت و از راه دور قابل بهرهبرداری هستند، رفع کرده است. از این میان دو مورد از آسیبپذیریها بر اساس استاندارد CVSS دارای بالاترین شدت اهمیت بوده و دارای امتیاز 10 از 10هستند.
در بهروزرسانی اکتبر، آسیبپذیریهای 27 محصول اوراکل رفع شده است که تعدادی از این محصولات مهم اوراکل که در معرض بیشترین آسیبپذیریها قرار دارند، در جدول 1 نمایش داده شده است. توصیه میشود، مشتریان محصولات اوراکل با مراجعه به مستندات مربوط به اصلاحیههای موجود اقدام به رفع آسیبپذیری نمایید.
شرکت اوراکل به صورت پیوسته در حال دریافت گزارشهایی مبنی بر تلاش برای بهرهبرداری از این آسیبپذیریها که بهروزرسانی آنها اخیرا ارائه شده، بوده است. در برخی موارد، به دلیل عدم اعمال بهروزرسانیها از طرف کاربر، اکسپلوست موفقیتآمیز از این آسیبپذیریها نیز گزارش شده است. بنابراین به شدت توصیه میشود که مشتریان از نسخه بهروز که پشتیبانی میشوند، استفاده کرده و بهروزرسانیها را هرچه سریعتر اعمال کند.
دو مورد از این آسیبپذیری ها که دارای شدت 10 هستند، بسیار خطرناک میباشند. اولین آسیبپذیری با شناسه CVE-2020-1953 است که بدون نیاز به احراز هویت و تعامل با کاربر میتواند از راه دور بهرهبرداری شود. این آسیبپذیری در المان Self Service Analytics از محصول Oracle Healthcare Foundation قرار دارد و نسخههای 7.1.1، 7.2.1، 7.2.0 و 7.3.0 را تحت تاثیر قرار میدهد.
دومین آسیبپذیری با شناسه CVE-2020-14871 در ماژول Pluggable authentication module از محصول Oracle Solaris است. این آسیبپذیری بدون نیاز به احراز هویت و دخالت کاربر میتواند از راه دور اجرا شود و این حمله بر اساس معیارهای استاندار CVSS یک حمله با پیچیدگی کم (low-complexity) محسوب میشود و نسخههای 10 و 11 را تحت تأثیر قرار میدهد.
لازم است توجه شود که 67 مورد از آسیبپذیریهای رفع شده در بهروزرسانی اخیر بر اساس CVSS امتیاز 9.8 را دارند.
برای حملاتی که مستلزم مجوز یا دسترسی به پکیج خاصی هستند، شرکت اوراکل توصیه میکند تا مجوزها و دسترسی کاربرانی که نیازی به این مجوزها ندارند، حذف گردد. این عمل به کاهش ریسک ناشی از حملات موفق کمک خواهد کرد. با این حال این دو رویکرد ممکن است در عملکرد برنامه خللی ایجاد کند پس اوراکل این رویکردها را به عنوان راهحل بلندمدت توصیه نمیکند.
توصیه میشود کاربران با توجه به خطرات ناشی از حملات به آسیبپذیریهای رفع شده، هرچه سریعتر اقدام به رفع آسیبپذیری سه ماه اخیر نمایند. بهروزرسانیهای سه ماهه قبلی در آوریل منجر به رفع 405 مورد آسیبپذیری در خط تولید شرکت گردیده است. چندین آسیبپذیری out-of-band نیز بهروزرسانی شده است؛ برای مثال، در ژوئن شرکت اوراکل هشداری مبنی بر آسیبپذیری بحرانی اجرای کد از راه در WebLogic Server اعلام کرده که به صورت گسترده بهرهبرداری شده است.
منابع
سازندگان دستگاههای ذخیرهسازNAS هشدار دادهاند که برخی از دستگاههای NAS که از نسخههای آسیبپذیر سیستمعامل QTS استفاده میکنند، در معرض حمله قرار دارند. ضعف این سیستمعامل از #آسیبپذیری بحرانی Windows ZeroLogon با شناسه CVE-2020-1472 منشاء گرفته است.
بنا به توضیحات QNAP (سازنده دستگاه ذخیرهسازNAS) بهرهبرداری موفق از آسیبپذیری مذکور منجر به ارتقاء سطح دسترسی میشود که این امر به مهاجمان راه دور اجازه میدهد تا از طریق سیستمعامل QTS آسیبپذیر، المانهای امنیتی را دور بزنند.
دستگاه NAS که بهعنوان دامین کنترلر تنظیم شدهاند در معرض این آسیبپذیری قرار دارند. از مسیر ذیل میتوان این تنظیم را انجام داد.
Control Panel > Network & File Services > Win/Mac/NFS > Microsoft Networking
علی رغم اینکه، دستگاههای NAS بهطورمعمول بهعنوان دامین کنترلر استفاده نمیشوند اما برخی سازمانها از آن بهعنوان یک دامین کنترلر ویندوز استفاده میکنند.
با توجه به اینکه، اگر سرور NAS LDAP در دستگاه NAS اجرا شود، نمیتوان دستگاههای NAS را بهعنوان دامین کنترلر استفاده کرد؛ بنابراین، سرورهای NAS LDAP بهصورت پیشفرض از حملات ZeroLogon محفوظ هستند.
توصیه میشود که مشتریان QNAP سیستمعامل QTS را در دستگاههای NAS بهروزرسانی نمایند تا بتوانند از حملات ZeroLogon مصون بمانند. بر اساس بیانیه QNAP، نسخههای QTS 2.x و QES از سیستم عامل QTS تحت تأثیر این آسیبپذیری قرار ندارند و مشکل در نسخههای زیر رفع شده است.
• QTS 4.5.1.1456 ساخت 20201015 و بعدتر
• QTS 4.5.1.1439 ساخت 20200925 و بعدتر
• QTS 4.5.1.1446 ساخت 20201929 و بعدتر
• QTS 4.5.1.1463 ساخت 20201006 و بعدتر
• QTS 4.5.1.1432 ساخت 20201006 و بعدتر
کابران برای نصب آخرین بهروزرسانی QTS بایستی بهصورت دستی سیستمعامل را از QNAP دانلود کنند یا به صورت خودکار مسیر ذیل را دنبال نمایند:
1. به پنل مدیریتی QTS بروید.
2. به مسیر Control Panel > System > Firmware Update بروید.
3. در قست Live Update به گزینه Check for Update کلیک نمایید. (آخرین نسخه QTS دانلود و نصب میشود.)
برای بهروزرسانی تمامی برنامههای نصبشده در NAS، کاربران بایستی از مسیرهای گفتهشده در بخش توصیهها اقدام کنند.
اخیراً QNAP دو آسیبپذیری بحرانی را در برنامه Helpdesk رفع کرده است که به مهاجم این اجازه را میداد تا کنترل دستگاههای unpatched را در اختیار بگیرد. همچنین یک بیانیه برای هشدار در مورد باج افزاری که دستگاههای NAS را مورد هدف قرار میدهد، ارائه کرده است.
منابع
سیسکو در 20 اکتبر گزارشی مبنی بر حملات گسترده به #آسیبپذیری با شناسه CVE-2020-3118 و شدت اهمیت بحرانی ارائه کرده است. این حملات روترهای کلاس حامل (Carrier-grade) که اجرای نرمافزارCisco IOS XR را بر عهده دارند، تحت تأثیر قرار میدهد. در تاریخ 5 فوریه سال جاری میلادی شرکت Cisco یک بهروزرسانی مربوط به این آسیب پذیری منتشر کرده است که ناشی از نحوه پیادهسازیCisco Discovery Protocol در نرمافزار Cisco IOS XR است. مهاجم هایی که در شبکه مجاور (adjacent) با سیستم آسیب پذیر هستند با بهره برداری از این آسیب پذیری میتواند کدهای دلخواه خود را اجرا کرده یا به دستگاههای آسیب پذیر بار اضافی، تحمیل کند.
مهاجمان با ارسال بسته آلوده Cisco Discovery Protocol به دستگاههای در حال اجرای نسخه آسیبپذیر IOS XR میتوانند از آسیبپذیری مذکور بهرهبرداری نمایند. بهرهبرداری موفقیتآمیز این آسیبپذیری باعث سرریز پشته میگردد و این امر منجر به اجرای کدهای دلخواه در سطح ادمین در دستگاه هدف میشود. این آسیبپذیری ناشی از اعتبارسنجی ناقص رشتههای ورودی در فیلدهای خاص پیامهای Cisco Discovery Protocol است.
بااینکه آسیبپذیری Cisco Discovery Protocol Format String منجربه اجرای کد از راه دور میشود ولی مهاجمان احراز هویت نشده تنها اگر در شبکهای مجاور (لایه 2) دستگاههای آسیبپذیر باشند، میتوانند از آسیب پذیری بهرهبرداری کنند.
این آسیبپذیری چندین محصول Cisco را با دو شرط ذیل تحت تأثیر قرار میدهد. اولا Cisco Discovery Protocol برای حداقل یکی از رابطهاکاربری به صورت عمومی (globally) فعال شده باشند و ثانیا در محصول نسخه آسیبپذیر نرمافزار Cisco IOS XR استفاده شده باشد. این آسیبپذیری همچنین روترهای دیگری را که دو شرط بالا در آنها صدق کند، را نیز تحت تاثیر قرار میدهد. نام محصولات سیسکو که تحت تاثیر این آسیب پذیری هستند:
توصیه تیم امنیتی مرکز ماهر بر این است که برای رفع این آسیبپذیری از بهروزرسانیهای منتشرشده Cisco استفاده نمایید.
منابع
گوگل در راستای رفع 5 مورد #آسیبپذیری، نسخه پایدار کروم (86.0.4240.111) را منتشر کرده است. که یکی از این آسیبپذیریها با شناسه CVE-2020-15999 بهصورت گسترده در حال بهرهبرداری است.
کاربران نسخههای دسکتاپی ویندوز، مک و لینوکس میتوانند با مراجعه به مسیر زیر نسخه کروم خود را ارتقاء بدهند.
Settings, Help, About Google Chrome
بنا به گفته ارشد تیم Project Zero، این تیم آسیبپذیری روز صفرمی را در FreeType شناسایی و گزارش کرده است که برای حمله به کروم مورد استفاده قرار میگیرد. با وجود اینکه، فقط شواهدی از بهرهبرداری از کروم دیده شده است؛ دیگر کاربران FreeType نیر بایستی اصلاحیه ذکرشده نرمافزار FreeType در https://savannah.nongnu.org/bugs/?59308 را نصب کنند یا نسخه 2.10.4 فاقد آسیب پذیری را اعمال نمایند.
تیم Project Zero، آسیبپذیری روز صفر Heap buffer overflow در کتابخانه FreeType را در تاریخ 19 اکتبر گزارش کردهاند که این آسیبپذیری در تابع Load_SBit_Png که تصاویر PNG موجود (embeded) در فونتها را پردازش میکند، قرارگرفته است.
گوگل همچنین سه مورد آسیبپذیری با درجه اهمیت بالا و یک مورد با درجه اهمیت معمولی را برای نسخه 86.0.4240.111 کروم رفع کرده است:
• CVE-2020-16000
• CVE-2020-16001
• CVE-2020-16002
• CVE-2020-16003
منبع:
در مرورگرهای دسکتاپی چندین قابلیت و ویژگی برای شناسایی تغییرات در URL موجود است؛ اما این امکانات امنیتی در مرورگرهای موبایلی به دلیل اندازه کوچک صفحهنمایش و عدم وجود برخی از ویژگیهای امنیتی، موجود نیست. ده مورد از این #آسیبپذیری که به وبسایت آلوده این امکان را میدهد تا URL جایگزینی را بجای URL واقعی وبسایت به کاربر نمایش دهد، در 7 مرورگر موبایلی نامآشنا، از قبیل Apple Safari، Opera Touchو Opera Mini و مرورگرهای دیگری همچون Bolt، RITS، UC Browserو Yandex Browserدیده میشود. در اوایل سال جاری میلادی این موارد شناسایی و در ماه اگوست به سازندگان مرورگرها اعلان شد. سازندگان نامآشنا بهصورت آنی وصلههای لازم را ارائه دادند ولی سازندگان دیگر هیچ اقدامی در این خصوص انجام ندادند. در پیوست لیست آسیبپذیری جهت مطالعه بیشتر، آورده شده است.
#باجافزار Ryuk با هدف قرار دادن سازمانهای بزرگ در سراسر جهان شناخته شده است که اغلب بوسیله بدافزارهای شناخته شدهای مانند Emotet و TrickBot توزیع و منتشر میشود. این باجافزار اولین بار در آگوست سال 2018 کشف شد و از آن زمان به بعد سازمانهای مختلفی را آلوده و میلیونها دلار از قربانیان سرقت کرده است.
تجزیه و تحلیلها نشان میدهد که Ryuk نتیجه توسعه سفارشی یک بدافزار قدیمی به نام Hermes است. اخیرا محققان از ارتباط Ryuk با آسیبپذیری خطرناک Zerologon پرده برداشتند. Zerologon یک آسیبپذیری خطرناک است که با شناسه "CVE-2020-1472" شناخته میشود، این آسیبپذیری به دلیل نقص در فرآیند ورود به سیستم است که به مهاجم اجازه میدهد با استفاده از پروتکل Netlogon یا Netlogon Remote Protocol (MS-NRPC)، اتصال یک کانال آسیبپذیر Netlogon را با یک کنترلکننده دامنه برقرار کند.
بر اساس گزارش DFIR، مهاجمان از طریق بدافزار Bazar Loader به محیط دسترسی نفوذ میکنند. در این حمله جدید، مهاجمان سریعتر به هدف خود میرسند اما تاکتیکها و تکنیکهای کلی با حملات قبلی مشابه است. در این باجافزار، مهاجمان به عنوان یک کاربر عادی با دسترسی محدود شروع به کار کرده و با بهرهبرداری از آسیبپذیری Zerologon به کنترلکننده دامنه اصلی دسترسی پیدا میکنند. اقدامات جانبی به کار گرفته شده از طریق انتقال فایل SMB و اجرای WMI انجام میشوند و هنگامی که به کنترلکننده دامنه ثانویه منتقل میشوند، عاملان تهدید دامنه بیشتری را از طریق Net و ماژول PowerShell Active Directory شناسایی میکنند. مهاجمان با اجرای باجافزار بر روی کنترلکننده دامنه اصلی، هدف خود را به پایان میرسانند. جهت مقابله با این بدافزار، باید اطمینان حاصل شود که وصله منتشر شده مایکروسافت در شبکه اعمال شود.
منبع
مایکروسافت به روزرسانی های جدیدی را در راستای اصلاح دو باگ RCE (اجرای از راه دور کد) منتشر کرده است که این باگ ها، کدهای کتابخانه Codec و ویژوال استودیو را تحت تاثیر قرار میدهند. #آسیبپذیری های ذکرشده با شناسه های CVE-2020-17022 و CVE-2020-17023دارای درجه اهمیت بحرانی هستند و گزارشی از اکسپلبوت گسترده آن ها موجود نیست.
آسیبپذیری کتابخانه Codec ویندوز (آسیب پذیری با شناسه CVE-2020-17022)، همه دیوایسهای در حال اجرای ویندوز 10 نسخههای 1709 یا پیشتر و نسخههای قدیمیتر کتابخانه Code را تحت تاثیر قرار میدهد.
بنا به بیانیه مایکروسافت، دستگاه های ویندوز 10 در حالت پیش فرض آسیبپذیر نیستند. تنها کاربرانی که HEVC یا 'HEVC from Device Manufacturer' را از Microsoft Store نصب می کنند، ممکن است آسیبپذیر باشند.
برای بررسی به روز بودن HEVC میتوانید از مسیر زیر پیش بروید؛ ابتدا به بخش Setting رفته و سپس بخش Apps & Features و HEVC را انتخاب نمایید و با کلیک Advanced Options میتوانید از نسخه برنامه آگاه شوید. نسخههای ایمن عبارتند از: 1.0.32762.0، 1.0.32763.0 و نسخه های به روزتر.
مایکروسافت در ماه ژوئن دو مورد مشابه از این باگ ها را به روز رسانی کرده است که منجر به گمراهی کاربران در دریافت بهروزرسانیها میشد. (بدین صورت که بجای روش معمول به روزرسانی، این به روزرسانی ها از طریق فروشگاه مایکروسافت انجام میشد).
آسیبپذیری RCE مربوط به JSON ویژوال استودیو (آسیب پذیری با شناسه CVE-2020-17023) زمانی فعال میشود که کاربر فایل 'package.json' جعلی را باز می کند و این فایل مخرب منجر به اجرای کدهای از راه دور توسط مهاجم میشود. اگر در چنین شرایطی کاربر حق دسترسی ادمین داشته باشد، اکسپولیت این آسیبپذیری منجر به ایجاد یک کاربر مهاجم با دسترسی ادمین در ویندوز 10 آسیب پذیر می شود.
در واقع CVE-2020-17023 به روزرسانی امنیتی منتشرشده برای آسیبپذیری CVE-2020-16881(یک باگ RCE که مایکروسافت در هشتم سپتامبر سعی داشت، آن را اصلاح کند.) را دور میزند.
کاربران تحت تاثیر این آسیب پذیری ها لازم نیست که هیچ گونه اقدامی برای رفع این آسیبپذیریها انجام دهند. به روزرسانی این محصولات به صورت خودکار از فروشگاه مایکروسافت دریافت میشوند، مگر اینکه بهروزرسانی خودکار در ویندوز غیر فعال باشد که در این صورت کاربران میتوانند بهصورت دستی به روزرسانی ها را از فروشگاه مایکروسافت دریافت نمایند.
منبع
#آسیبپذیری موجود در رابط سرویسهای وب نرمافزارهای (Cisco Adaptive Security Appliance (ASA وCisco Firepower Threat Defense (FTD)، این امکان را برای مهاجم احراز هویت نشده فراهم میآورد تا از راه دور حملات Directory Traversal انجام داده و به فایلهای حساس سیستم هدف، دسترسی یابد. این آسیبپذیری با شناسه CVE-2020-3452 معرفی شده و براساس سیستم امتیاز دهی CVSSv3 دارای امتیاز 7.5 است.
این آسیبپذیری، به دلیل اعتبارسنجی نامناسب ورودی URLها در درخواستهای HTTP رخ میدهد. هکرها برای حمله، درخواستهای HTTP دستکاری شده را که شامل دنباله کاراکترهای پیمایش مسیر (Directory Traversal) میباشند به سیستم هدف ارسال میکنند. اکسپلویت آسیبپذیری، امکان مشاهده اسناد دلخواه هکر را در سیستم هدف فراهم میسازد. برای مطالعه بیشتر اینجا کلیک کنید.