‫ اخبار

گزارشی از 257 مورد خدمت ارائه شده توسط مرکز ماهر در هفته چهارم آذر ماه و هفته اول دی ماه (25 آذرلغایت8 دی ماه 1399)در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.

چندین #‫آسیب‌پذیری در محصولات نسخه 1.x از TightVNC وجود دارد که امکان اجرای کد از راه دور و حمله انکار سرویس را در شرایط خاص فراهم می‌آورند. Siemens برای چندین محصول خود که تحت تاثیر آسیب‌پذیری‌های TightVNC هستند، به‌روزرسانی ارئه کرده است و در حال تلاش برای به‌روزرسانی سایر محصولات تحت تاثیر آسیب‌پذیری است. برای مطالعه راهکار پیشنهادی Siemens برای جلوگیری از سوءاستفاده از این آسیب‌پذیری‌ها و لیست محصولات آسیب‌پذیر شرکت اینجا کلیک نمایید.

چندی پیش خبری مبنی بر #‫آسیب‌پذیری SolarWinds و خطرات احتمالی آن در کشور مطرح شد. در حال حاضر اطلاعات بیشتری از این حملات در اختیار رسانه‌ها‌ قرار می‌گیرد. اکنون بعد از خبر تحت تاثیر قرار گرفتن اینتل، مایکروسافت و موارد مشابه، VMware و سیسکو نیز تصدیق کرده‌اند که تحت تاثیر زنجیره حملات SolarWinds قرار داشته‌اند.
VMware در بیانیه‌ای از وجود چندین نرم‌افزار آلوده در شبکه داخلی خود خبر داد و بیان کرد که این آسیب‌پذیری‌ها اکسپلویت نشده‌اند. این شرکت تاکید کرد که آسیب‌پذیری روز صفر این شرکت با شناسه آسیب‌پذیری CVE-2020-4006 به عنوان یک روش حمله مضاعف در کنار آسیب‌پذیری SolarWinds جهت تحت تاثیر قرار دادن اهداف مهم استفاده می‌شود. محصولات زیر از VMware تحت تاثیر این آسیب‌پذیری روز صفرم قرار دارند. توصیه می‌شود کاربران این محصولات با مراجعه به این سایت محصولات خود را به‌روزرسانی نمایند.

همچنین سیسکو بیان کرده است که با وجود اینکه از Solarwinds برای مدیریت شبکه و مانیتورینگ آن در شبکه شرکت خود استفاده نمی‌کرده‌، چندین نمونه نرم افزار آلوده Solarwinds را در محیط آزمایشگاهی و سیستم نهایی کارمندان خود یافته است.
متاسفانه شرکت‌های تحت تاثیر این آسیب‌پذیری بسیار زیاد هستند و برای مقابله با این آسیب‌پذیری در کشور لازم است، تمام سازمان‌ها در گام اول از عدم آسیب‌پذیری سیستم‌های خود اطمینان حاصل نمایند و سپس با استفاده از اقدامات پیش‌گیرنده مانع از نفوذ این بدافزار در سامانه خود شوند.
منابع:

رصد فضای سایبری کشور نشان از آن دارد که تعداد قابل توجهی از صفحات پیکربندی فایروال‌های سازمان‌ها، صفحات پیکربندی مسیریاب‌ها، صفحات مانیتورینگ شبکه و ... از طریق شبکه‌ي اینترنت قابل دسترسی است. این در حالی‌ست که متاسفانه در تعداد قابل توجهی از آنها از کلمه‌ی عبور پیش‌فرض هم استفاده شده است. در هفته‌ی گذشته متاسفانه مرکز ماهر بیش از ۲۰۰ مورد هشدار به سازمان‌ها و شرکت‌ها و تولیدکنندگان محصولات امنیتی داخلی ارسال کرده است. لازم است که دسترسی به این سرویس‌ها از طریق اینترنت محدود شده و اگر بنابر ضرورت‌های کرونایی نیاز به دسترسی راه دور دارد، حتما از طریق vpn انجام شود. از آن مهم‌تر، نسبت به تغییر کلمات عبور پیش‌فرض حتما اقدام شود.

گزارشی از 280 مورد خدمت ارائه شده توسط مرکز ماهر از جمله فراوانی و نوع رخدادهای رسیدگی شده ، بخش‌های دریافت کننده خدمات و نحوه مطلع شدن مرکز از این رخدادها در هفته دوم و سوم آذر ماه (11 لغایت 24 آذر ماه) در گراف‌های زیر قابل مشاهده است.

#‫آسیب‌پذیری روز صفر در افزونه SMTP وردپرس که منجربه بازنشانی پسورد ادمین می‌شود به صورت گسترده در حال اکسپلویت است. وصله این آسیب‌پذیری در تاریخ 7 دسامبر سال جاری منتشر شده است، اما هنوز هم بسیاری از سایت‌ها وصله نشده باقی مانده‌اند. بنابراین لازم است مدیران وبسایت‌های وردپرسی که از این افزونه استفاده می‌کنند، هرچه سریع‌تر اقدام به به‌روزرسانی این نرم‌افزار نمایند.
افزونه Easy WP SMTP که برای تنظیم SMTP برای ایمیل‌های ارسالی از وبسایت استفاده می‌شود و در بیش از 500،000 وبسایت نصب شده است، در هفته گذشته مورد حملات گسترده قرار داشته است و هنوز هم با وجود اینکه وصله آن منتشر شده است، همچنان این حملات ادامه دارند. بر اساس گزارش NinTechNet، نسخه 1.4.2 ازEasy WP SMTP و نسخه‌های قبل از آن دارای ویژگی است که برای هر ایمیل ارسالی لاگی برای اشکال‌زدایی تولید می‌کند و در دایرکتوری نصب این افزونه ذخیره می‌کند. قابلیت پیمایش دایرکتوری در دایرکتوری نصب افزونه فعال است، بنابراین هکرها می‌توانند لاگ‌ها را مشاهده کنند.
در سایت‌هایی که نسخه‌های آسیب‌پذیر این افزونه را استفاده می‌کنند، هکرها حمله خودکاری را اجرا می‌کنند تا حساب کاربری ادمین را شناسایی کرده و درخواستی برای بازنشانی پسورد کاربر ادمین ارسال کند. از آنجایی‌که بازنشانی پسورد، شامل ارسال ایمیل بازنشانی به لینک حساب کاربری ادمین است؛ این ایمیل نیز در لاگ‌های WP SMTP ذخیره می‌شود. سپس هکرها با دسترسی به لاگ این ایمیل‌ها لینک بازنشانی را استخراج کرده و پسورد حساب کاربری ادمین را بازنشانی کرده و دراختیار می‌گیرند.
توسعه دهندگان برای رفع این آسیب‌پذیری لاگ‌های این افزونه را به دایرکتوری لاگ‌های وردپرس که از امنیت بیشتری برخوردار است، منتقل کرده‌اند. این دومین بار است که یک آسیب‌پذیری روز صفر در این افزونه شناسایی می‌شود و به صورت گسترده مورد سوء استفاده قرار می‌گیرد. اما خوشبختانه در مقایسه آسیب‌پذیری روز صفر اول که در مارس 2019 منتشر شده بود، در حال حاضر قابلیت به‌روزرسانی خودکار به این افزونه اضافه شده است. بنابراین کاربران این افزونه برای به‌روزرسانی آن کافیست دکمه به‌روزرسانی خودکار را فعال کنید. اگر از نسخه‌های آسیب‌پذیر افزونه Easy WP SMTP استفاده می‌کنید، هرچه سریع‌تر نسبت به به‌روز‌رسانی این نرم‌افزار به نسخه 1.4.4 اقدام نمایید.
منبع خبر:

شرکت SolarWind اعلام کرده است که تمام نسخه‌های SolarWinds Orion Platform که در ماه‌های March تا June امسال منتشر شده‌اند‌، #‫آسیب‌پذیر هستند. بنابراین اگر شرکت یا سازمان ایرانی هستید و از نرم‌افزار Solarwinds استفاده می‌کنید و این نرم افزار را در بازه زمانی مذکور به‌روزرسانی یا نصب کرده‌اید، پس شما یک محصول آسیب‌پذیر را در شبکه خود دارید. لذا ضروریست تا هرچه سریع‌تر نسبت به نصب آخرین نسخه این محصول ( version 2020.2.1 HF 1 ) از این لینک اقدام کنید.
شرکت FireEye گزارش کرده است که هکرهایی که از طرف یک دولت خارجی فعالیت می‌کنند‌، با نفوذ در فرایند ایجاد نرم افزار SolarWinds و ایجاد بک دور در این محصول، موجب آسیب‌پذیری صدها شبکه در دنیا شده‌اند که از نسخه‌های 2019.4 HF 5 تا 2020.2.1 از این محصول استفاده می‌کنند. گزارش وجود #‫بدافزار در SolarWinds بعد از افشای خبر حمله به دو وزارت خزانه داری ایالات متحده و اداره ارتباطات ملی و اطلاعات وزارت بازرگانی ایالات متحده منتشر شد که از جزئیات این بدافزار را شرح می‌دهد. همچنین باید خاطر نشان کرد که برای نفوذ به شرکت FireEye که چند روز پیش خبر آن را منتشر کردیم، نیز از این آسیب‌پذیری سوءاستفاده شده است.
با توجه به حملات انجام شده تمام سازمان‌ها و ادارات دولتی کشور که از SolarWinds استفاده می‌کنند باید هرچه سریع‌تر امنیت شبکه خود را بررسی نمایند. نسخه‌های 2019.4 HF 5 تا 2020.2.1 از این پلت‌فرم آسیب‌پذیر هستند. اگر مطمئن نیستید از کدام یک از نسخه‌های Orion Platform استفاده می‌کنید‌، کافیست یا از طریق بررسی صفحه ورود به محصول یا با استفاده از کنترل پنل نرم افزار نسخه محصول را شناسایی کنید.
برای شناسایی نسخه از کنترل پنل محصول، لازم است، گام‌های زیر را انجام دهید. کنترل پنل را باز کنید و وارد مسیر زیر شوید.

در قسمت انتهایی صفحه لیست محصولات و نسخه آن در بخش SolarWinds مانند شکل 1 نمایش داده شده است. تعداد مدخل‌های این بخش متناسب با محصولات نصب شده است. توصیه می‌شود پس از به‌روزرسانی محصولات حتما با استفاده از گام‌های زیر اطمینان حاصل کنید که به‌روزرسانی در تمام محصولات به درستی انجام شده است. کنترل پنل را بازکرده و وارد مسیر زیر شوید.

در انتهای صفحه در بخش SolarWinds لیست به‌روزرسانی‌های انجام شده مشابه آنچه در شکل2 مشاهده می‌کنید، نمایش داده شده است.

شکل 1- لیست محصولات و نسخه آنها

شکل 2- آخرین به‌روزرسانی SolarWinds

اگر امکان به‌روزرسانی برای شما وجود ندارد، لطفا راهنمایی موجود در اینجا را جهت ایمن‌سازی پلتفرم خود بررسی نمایید. راهکارهای پیشگری اولیه می‌تواند شامل قرار دادن پلت‌فرم در پشت یک فایروال، غیر‌فعال‌سازی دسترسی به پلتفرم از طریق اینترنت، محدود سازی پورت‌ها باشد.
FireEye بدافزار پلتفرم SolarWinds را SUNBURST نامگذاری کرده است و مجوعه قوانینی را جهت حفاظت در برابر حملات این بدافزار خطرناک اینجا منتشر کرده است که مدیران شبکه لازم است، این قوانین را درسیستم‌های تشخیص نفوذ خود اعمال نمایند. همچنین مدیران شبکه بایستی به صورت مکرر این لینک را بررسی کنند تا در صورت انتشار، از این قوانین آگاه شوند. مایکروسافت این بد افزار را Solorigate نام گذاری کرده است و مجموعه قوانینی را برای آنتی ویروس Defender را منتشر کرده است.
SolarWinds اعلام کرده است امروز (15 دسامبر سال 2020 میلادی) برای این محصول یک به‌روزرسانی جدیدی منتشر خواهد کرد. توصیه می‌شود کاربران به محض انتشار نسخه 2020.2.1 HF 2 پلتفرم خود را به این نسخه به‌روزرسانی نمایند.

شرکت FireEye مورد نفوذ قرار گرفته و ابزارهای این شرکت اکنون در دست مهاجمان است. بنابراین ضروریست سازمان‌ها و شرکت‌های دولتی و خصوصی کشور در آمادگی کامل باشند. مدیران شبکه، سیستم‌های خود را بررسی کنند و اطمینان حاصل کنند که تاکنون مورد حمله واقع نشده باشند. همچنین باید براساس قوانین ارائه شده توسط این شرکت سیستم‌های تشخیص نفوذ خود را قدرتمند ساخته و به صورت مداوم پیگیر خبرهای این شرکت باشند تا در صورت هر گونه اعلام هشدار یا راهکار جدیدی سیستم‌های خود را بهبود ببخشند. برای مطالعه بیشتر در خصوص این خبر و اطلاع از لیست #‫آسیب‌پذیری ‌‌هایی که رفع آن‌ها برای مقابله با اثرات جانبی این حملات مفید است، اینجا کلیک کنید.

#‫سیسکو به‌روز‌رسانی امنیتی را برای رفع چندین #‫آسیب‌پذیری که Cisco Security Manager را تحت تاثیر قرار می‌دهد منتشر کرده است. برای اکسپلویت این آسیب‌پذیری‌ها نیازی به احراز هویت نیست و اکسپلویت این آسیب‌پذیری‌ها امکان اجرای کد از راه دور را فراهم می‌آورد.
Cisco Security Manager به مدیریت سیاست‌های امنیتی در مجموعه وسیعی از تجهیزات امنیتی و شبکه سیسکو کمک می‌کند و همچنین گزارشات خلاصه شده و قابلیت عیب‌یابی رویدادهای امنیتی را فراهم می‌کند. این محصول با مجموعه وسیعی از وسایل امنیتی سیسکو مانند سوئیچ‌های سری Cisco Catalyst 6000‌، روترهای سرویس یکپارچه (ISR) و سرویس فایروال کار می‌کند.
این آسیب‌پذیری‌ها که نسخه‌های 4.22 از Cisco Security Manager و نسخه‌های قبل‌تر از آن را تحت‌تاثیر قرار می‌دهند در 16 نوامبر توسط سیسکو افشاء شدند. سیسکو این آسیب‌پذیری‌ها را یک ماه پس از آنکه یک محقق امنیتی با نام Florian Hauser آنها را گزارش کرد، افشاء نمود. Hauser پس از آنکه تیم پاسخگویی به حوادث امنیتی محصول سیسکو پاسخ‌ دادن به او را متوقف کردند، کدهایProof-of-concept همه این 12 مورد آسیب‌پذیری‌ها را منتشر کرد.
سیسکو دو مورد از این 12 مورد آسیب‌پذیری که با شناسه‌های CVE-2020-27125 و CVE-2020-27130 پیگیری می‌شوند در نوامبر رفع کرده بود. اما برای بقیه آسیب‌پذیری‌ها که مجموعا با شناسه‌ CVE-2020-27131 پیگیری می‌شوند، هیچ‌‌گونه به‌روزرسانی امنیتی فراهم نکرده بود. سیسکو این آسیب‌پذیری‌ها را در نسخه 4.22 Service Pack 1 از Cisco Security Manager که اخیرا منتشر کرده است، رفع نموده است. توصیه می‌شود، مدیران این به روز‌رسانی امنیتی را هرچه سریع‌تر اعمال نمایند.

منبع:

به‌روزرسانی امنیتی ماه دسامبر مایکروسافت شامل وصله‌هایی برای رفع 58 #‫آسیب‌پذیری در محصولات مختلف این شرکت و یک توصیه امنیتی است. از میان 58 آسیب‌پذیری رفع شده در به روزرسانی امنیتی اخیر مایکروسافت، 9 مورد جزء آسیب‌پذیری‌های بحرانی، 48 مورد جزء آسیب‌پذیری‌های مهم و دو مورد جزء آسیب‌پذیری‌های متوسط دسته‌بندی شده‌اند. برای مطالعه بیشتر در خصوص آسیب‌پذیری‌های رفع شده در این به‌روزرسانی امنیتی اینجا کلیک نمایید.