فا

‫ اخبار

صفحات: « 1 2 3 4 5 ... » »»
آسیب پذیری در Zoho ManageEngine ServiceDesk Plus  

#‫آسیب‌پذیری با شناسه CVE-2021-44077 و شدت خطر بحرانی به مهاجم احراز هویت نشده راه دور امکان اجرای کد دلخواه را می‌دهد. آسیب پذیری مذکور از عملکرد ناسالم و ناشناخته فایل /RestAPI نشات گرفته که سه اصل محرمانگی، یکپارچگی و دسترس‌پذیری را تحت تاثیر خود قرار می‌دهد.

نسخه های آسیب پذیر
تمامی نسخه‌های قبل از 11306 مستعد این آسیب‌پذیری هستند.
راه حل
به مدیران و مسئولان مربوطه اکیدا توصیه می‌شود تا نسخه مورد استفاده خود را به آخرین نسخه به‌روز نمایند.
منبع

آسیب‌پذیری روزصفر در Windows 10

تعدادی وصله‌ی امنیتی غیررسمی به منظور محافظت از کاربران ویندوزی در برابر #‫آسیب‌پذیری روزصفر ارتقاء سطح دسترسی محلی (Local Privilege Escalation)‬ که به آن LPE نیز گفته می‌شود منتشر شده است. این آسیب‌پذیری در سرویس Mobile Device Management وجود دارد و سیستم‌های دارای سیستم‌عامل Windows 10 نسخه 1809 و بالاتر را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری امنیتی با شناسه CVE-2021-24084، زیرمجموعه تنظیمات "Access work or school" است و وصله‌ی امنیتی منتشر شده توسط مایکروسافت در ماه فوریه را که برای رفع این نقصِ افشای اطلاعات بود، دور می‌زند. یک محقق امنیتی به نام Abdelhamid Naceri (که آسیب‌پذیری اولیه را گزارش کرده بود)، در این ماه کشف کرد که این نقصِ ناقص‌وصله‌شده، می‌تواند برای به دست آوردن سطح دسترسی ادمین، پس از افشای عمومی این باگ مورد سوءاستفاده قرار گیرد.
Mitja Kolsek، یکی از بنیانگذاران 0patch توضیح داد:"آنچه از HiveNightmare/SeriousSAM به دست می‌آید این است که اگر بدانید کدام فایل‌ها را باید بردارید و با آن‌ها چکار کنید، آن‌گاه می‌توان یک افشای فایل دلخواه را به افزایش سطح دسترسی محلی ارتقاء داد." در حالی که مایکروسافت به احتمال زیاد متوجه افشای Naceri در ماه ژوئن شده است، این شرکت هنوز باگ LPE را اصلاح نکرده و سیستم‌های ویندوز 10 با آخرین به‌روزرسانی‌های امنیتی نوامبر 2021 را در معرض حملات قرار می‌دهد.
خوشبختانه مهاجمان تنها در صورتی می‌توانند از این نقص بهره‌برداری کنند که دو شرط زیر برآورده شود:

  • System protection باید در درایو C فعال باشد و حداقل یک نقطه بازیابی ایجاد شود، اینکه System protection به طور پیش‌فرض فعال است یا خیر، به پارامترهای مختلفی بستگی دارد.
  • حداقل یک حساب کاربری administrator محلی باید در سیستم فعال باشد، یا حداقل اطلاعات یک حساب کاربری عضو گروه "Administrator" باید در حافظه نهان ذخیره شده باشد.

تا زمانی که مایکروسافت به‌روزرسانی‌های امنیتی را برای رفع این نقص منتشر کند (احتمالاً در Patch Tuesday ماه آینده)، سرویس 0patch micropatch، وصله‌های رایگان و غیررسمی را برای همه نسخه‌های Windows 10 آسیب‌پذیر منتشر کرده است (Windows 10 21H2 نیز تحت تأثیر قرار گرفته است اما هنوز توسط 0patch پشتیبانی نمی‌شود). نسخه‌های تحت تأثیر این آسیب‌پذیری عبارتند از:

  • Windows 10 v21H1 (32 & 64 bit) updated with November 2021 Updates
  • Windows 10 v20H2 (32 & 64 bit) updated with November 2021 Updates
  • Windows 10 v2004 (32 & 64 bit) updated with November 2021 Updates
  • Windows 10 v1909 (32 & 64 bit) updated with November 2021 Updates
  • Windows 10 v1903 (32 & 64 bit) updated with November 2021 Updates
  • Windows 10 v1809 (32 & 64 bit) updated with May 2021 Updates

Kolsek افزود: "ویندوز سرورها تحت تأثیر این آسیب‌پذیری قرار ندارند، چرا که عملکرد آسیب‌پذیر در آن‌ها وجود ندارد. این در حالی است که برخی از ابزارهای similar diagnostics بر روی سرورها وجود دارند، اما از آنجا که تحت هویت کاربر اجرا می‌شوند نمی‌توانند مورد بهره‌برداری قرار بگیرند." همچنین Windows 10 v1803 و نسخه‌های قدیمی‌تر ویندوز به نظر نمی‌رسد که تحت تأثیر قرار گرفته باشند و در حالی که عملکرد 'Access work or school' را دارند، چون رفتار متفاوتی نشان می‌دهند، بنابراین نمی‌توانند مورد بهره‌برداری قرار گیرند. Windows 7 نیز اصلاً 'Access work or school' را ندارد. 0patch تا زمانی که مایکروسافت یک وصله‌ رسمی برای این نقص منتشر کند، میکروپچ‌های رایگان برای این آسیب‌پذیری ارائه می‌دهد. کاربرانی که می‌خواهند میکروپچ‌ها را نصب کنند، می‌توانند یک حساب کاربری رایگان در 0patch Central ایجاد کنند، سپس 0patch Agent را از 0patch.com نصب کنند. این شرکت اشاره کرد که نیازی به راه‌اندازی مجدد کامپیوتر نخواهد بود.

https://www.bleepingcomputer.com/news/security/new-windows-10-zero-day-gives-admin-rights-gets-unofficial-patch/

https://securityaffairs.co/wordpress/125061/security/unofficial-patches-cve-2021-24084-zeroday.html?utm_source=rss&utm_medium=rss&utm_campaign=unofficial-patches-cve-2021-24084-zeroday

آسیب پذیری در QNAP به شناسه CVE-2021-38685 & CVE-2021-38686

آسیب‌پذیری در QNAP با شناسه CVE-2021-38685 و شدت خطر CVSS 9.8 به مهاجم راه دور امکان اجرای فرمان بر روی دستگاه‌های آسیب‌پذیر را می‌دهد. علاوه بر این آسیب پذیری دیگر CVE-2021-38686 با شدت خطر 8.8 شناسایی شده است که از ضعف در مکانیزم احراز هویت سرویس‌دهنده نشأت می‌گیرد.
نسخه های آسیب پذیر
تمامی نسخه‌های قبل از نسخه QVR 5.1.6 و build 20211109 آسیب‌پذیر می باشند.

راه حل
به مدیران و مسئولان مرتبط اکیدا توصیه می‌شود تا در اسراع وقت نسخه نرم‌افزار خود را به آخرین نسخه به روز نمایند.

منبع

https://california18.com/qnap-two-closed-security-holes-in-qnap-vs-series-nvr/1736012021

حمله هکرها به سرورهای Exchange با بهره‌برداری از آسیب‌پذیری‌های ProxyShell و ProxyLogon برای انتشار بدافزار

هکرها با بهره‌برداری از آسیب‌پذیری‌های ProxyShell و ProxyLogon، سرورهای Microsoft Exchange را مورد حمله قرار داده‌اند. هکرها با ارسال ایمیل‌هایی با پیوست‌های بدافزار یا لینک‌های حاوی پیام‌های مخرب، زنجیره آلوده‌سازی را وسیع‌تر می‌کنند. عوامل تهدید از تعدادی تکنیک که جهت گمراه‌سازی کاربران برای باز کردن ایمیل و پیوست مخرب است، استفاده می‌کنند. این روش‌ها می‌تواند جعل یک فرستنده قانونی، یا یک ایمیل ساختگی که به نظر می‌رسد از یک شرکت معتبر ارسال شده است، باشد. محققان TrendMicro یک نقص در سرورهای مایکروسافت Exchange کشف کرده‌اند که برای توزیع ایمیل‌های مخرب بین کاربران داخلی یک شرکت استفاده می‌شود. اعتقاد بر این است که هکرهای پشت این حمله از گروه معروف TA هستند که ایمیل‌هایی را با پیوست‌های مخرب توزیع می‌کند. این گروه در گذشته با استفاده از فرمت‌های فایل زیر در ایمیل‌های خود کمپین‌های متعدد توزیع بدافزار داشته‌اند:

Microsoft Office Files (.doc, .xls, .ppt)

Rich Text Format (.rtf)
Portable Document Format (.pdf)
Single File Web Page (.mht)
Compiled HTML (.chm)
Compiled Help File (.chm or .hlp)
Shell Executable files (.exe, .com, or .bat)

در این حملات آسیب پذیری‌هایی که مورد سوء استفاده قرار می‌گیرند عبارتند از:

CVE-2021-34473: The pre-auth path confusion

CVE-2021-34523: Exchange PowerShell backend elevation-of- privilege
CVE-2021-26855: The pre-authentication proxy vulnerability

توصیه شرکت مایکروسافت به کاربران خود این بوده است که سرورهای Exchange خود را همیشه به روزرسانی کنید.
منابع

ایجاد‌کننده اطلاع‌رسانی‌ها

گزارشی از 300 مورد خدمت ارائه شده توسط مرکز ماهر در آبان ماه سال 1400 در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.

ایجاد‌کننده اطلاع‌رسانی‌ها
  • وصله آسیب‌پذیری با شدت بالا 8.8 و شناسه CVE-2021-34991 در تجهیزات SOHO شرکت تجهیزات شبکه Netgear. این آسیب‌پذیری به مهاجم حاضر در شبکه مجاور (LAN) امکان اجرای کد با دسترسی روت را بر روی تجهیزات آسیب‌پذیر فراهم می‌کند.
  • وصله چندی آسیب‌پذیری (6 آسیبپذیری روزصفرم، 6 آسیب‌پذیری بحرانی و 49 آسیب‌پذیری مهم) در محصولات مایکروسافت در ماه نوامبر 2021. مهمترین آن‌ها آسیب‌پذیری اجرای کد از راه دور در سرورهای Microsoft با شناسه CVE-2021-42321 و آسیب‌پذیری دور زدن سازوکارهای امنیتی در Microsoft Excel با شناسه CVE-2021-42292
  • وصله ‫آسیب‌پذیری در GitLab Community Edition (CE) و Enterprise Edition (EE) شرکتGitLab با شناسهCVE-2021-22205 (شدت خطر10 ) که به مهاجم راه دور امکان اجرای کد دلخواه را می‌دهد
  • وصله آسیب‌پذیری‌ها در محصولاتCisco Adaptive Security Appliance (ASA)، Cisco Firepower Threat Defense (FTD) و (Cisco Firepower Management Center (FMC از شرکت سیسکو که بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها منجر به حملات منع سرویس و حملات Authenticated Directory Traversal در دستگاه‌های آسیب‌پذیر خواهد شد.


1 آذر 1400 برچسب‌ها: اخبار, مهم‌ترین اخبار ماهانه
هشدار: آسیب‌پذیری موجود در تجهیزات Netgear

شرکت تجهیزات شبکه Netgear در به‌روزرسانی اخیر یک #‫آسیب‌پذیری شدت بالا را در تجهیزات SOHO خود وصله نمود. این آسیب‌پذیری در برخی تجهیزات Netgear با شدت 8.8 و شناسه CVE-2021-34991 وجود دارد که به مهاجم حاضر در شبکه مجاور (LAN) امکان اجرای کد با دسترسی روت را بر روی تجهیزات آسیب‌پذیر فراهم می‌کند.
تجهیزات آسیب‌پذیر در زیر آورده شده است:

به کاربران توصیه می‌شود در اسرع وقت نسبت به نصب جدیدترین نسخه ثابت‌افزار (Firmware) تجهیز خود اقدام نمایند. هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است.
جهت مشاهده نسخه ثابت‌افزاری که آسیب‌پذیری در آنها برطرف شده است به پیوند زیر مراجعه نمایید:

29 آبان 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

مایکروسافت در اصلاحیه امنیتی مایکروسافت ماه نوامبر 2021 مجموعاً 55 آسیب‌پذیری را در محصولات خود وصله کرده است که در این بین 6 آسیبپذیری روزصفرم، 6 آسیب‌پذیری بحرانی و 49 آسیب‌پذیری مهم وجود دارد. به کاربران توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام کنند. امکان دریافت به‌روزرسانی برای کاربران ویندوز با استفاده از بخش windows updateدر مسیر زیر فراهم است:

Start > Settings > Update & Security > Windows Update

جزییات آسیب‌پذیری‌ها

از بین 6 آسیب‌پذیری روزصفرم، بهره‌برداری فعال از دو مورد از آنها مشاهده شده است:

  • CVE-2021-42321: آسیب‌پذیری اجرای کد از راه دور در سرورهای Microsoft Exchange. این آسیب‌پذیری Microsoft Exchange Server 2019و 2016 را تحت تاثیر قرار می‌دهد. اکیداً توصیه می‌شود به نصب وصله امنیتی ارائه شده توسط ماکروسافت اقدام نمایید:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42321

  • CVE-2021-42292: آسیب‌پذیری دور زدن سازوکارهای امنیتی در Microsoft Excel

همچنین محصولاتی که آسیب‌پذیری بحرانی آنها در این اصلاحیه وصله شده است، عبارتند از:

Microsoft Dynamics

Visual Studio

Windows Defender

Windows RDP

Windows Scripting

Windows Virtual Machine Bus

جهت اطلاع از سایر محصولات آسیب‌پذیر و جزییات فنی این آسیب‌پذیری‌ها به پیوند زیر مراجعه نمایید:

https://msrc.microsoft.com/update-guide/

مراجع

https://msrc.microsoft.com/update-guide/

https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2021-patch-tuesday-fixes-6-zero-days-55-flaws/

19 آبان 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
آسیب پذیری در GitLab با شناسه CVE-2021-22205

#‫آسیب‌پذیری در GitLab با شماره CVE-2021-22205 و با شدت خطر CVSS 10 اندازه‌گیری شده است. و به مهاجم راه دور امکان اجرای کد دلخواه را می‌دهد. این آسیب‌پذیری از عدم اعتبار سنجی صحیح هنگام ارسال فایل‌های تصویری توسط کاربر، نشات می گیرد و مهاجم می‌تواند کد مخرب خود را در قالب یک فایل عکس بر روی این سرویس‌دهنده بارگذاری نماید. تمامی نسخه‌های قبل از 13.8.8, 13.9.6, 13.10.3 برای هردو نسخه GitLab Community Edition (CE) و Enterprise Edition (EE) آسیب‌پذیر می‌باشند.

به مدیران و مسئولان مربوطه اکیدا توصیه می‌شود تا نسخه مورد استفاده خود را به آخرین نسخه به‌روز نمایند.
منبع

15 آبان 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
هشدار در خصوص آسیب‌پذیری‌های موجود در محصولات cisco

شرکت #‫سیسکو در به‌روزرسانی اخیر خود چندین #‫آسیب‌پذیری شدت بالا و متوسط را در محصولات خود وصله کرد. برخی از محصولات آسیب‌پذیر به شرح زیر هستند:

  • Cisco Adaptive Security Appliance (ASA)
  • Cisco Firepower Threat Defense (FTD)
  • Cisco Firepower Management Center (FMC)

به کاربران توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سیستم‌های آسیب‌پذیر اقدام کنند. هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است. مخاطرات مربوط به آسیب‌پذیری CVE-2021-40116 را می‌توان با انجام روش‌های موقت زیر کاهش داد:

  • تغییر موتور Snort inspection از Snort3 به Snort2
  • تغییر rule actionهای Block with Reset یا Interactive Block with Reset به یک action دیگر

جهت مشاهده اطلاعات بیشتر راجع به آسیب‌پذیری‌های مذکور و نحوه به‌روزرسانی به لینک زیر مراجعه کنید:

بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها منجر به حملات منع سرویس و حملات Authenticated Directory Traversal در دستگاه‌های آسیب‌پذیر خواهد شد.
در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مورد بحث آورده شده است.

مراجع

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snort-dos-RywH7ezM
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-tls-decrypt-dos-BMxYjm8M
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-rUDseW3r
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-dir-traversal-95UyW5tk
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-dos-4ygzLKU9
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asafdt-webvpn-dos-KSqJAKPA
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-dos-Unk689XY
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-dos-JxYWMJyL

11 آبان 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
صفحات: « 1 2 3 4 5 ... » »»