‫ اخبار

یک #‫آسیب‌پذیری حیاتی در کنسول مدیریت و SSL VPNتجهیزات UTMشرکت سایبروم گزارش شده است. درصورت حمله موفق، حمله کننده دسترسی با سطح rootرا بدست خواهد آورد. با توجه به قرارگیری سرویس‌دهنده‌های VPNاز جمله سرویس SSL VPNدر تجهیزات UTMبر بسترشبکه اینترنت جهت برقراری دسترسی از راه دور به شبکه داخلی، این نوع آسیب‌پذیری می تواند بسیار خطرناک باشد.

تمامی فایروال‌های سوفوس با سیستم عامل CROS 10.6.6 MR-5 و قبل از آن آسیب‌پذیر می باشند. جهت رفع آسیب پذیری بروزرسانی دستگاه ضروری است.

منابع :

https://community.sophos.com/kb/en-us/134732

https://www.symantec.com/security-center/vulnerabilities/writeup/110370?om_rssid=sr-advisories

در این گزارش، بدافزاری با عنوان فیلترشکن بررسی و عملکرد آن تشریح خواهد شد. این بدافزار درواقع یکی از فیلترشکن‌هایی را که کد منبع آن­ها در اختیار است تغییر داده و منتشر کرده است. با توجه به اینکه این بدافزار مجوزهای خواندن مخاطبین و ارسال پیامک را دارد، پس از نصب متن تبلیغ به همراه لینک دانلود برنامه را به تمامی مخاطبین ذخیره ­شده بر روی گوشی همراه کاربر فرستاده و ایشان را به دانلود این برنامه ترغیب می‌کند. هم­چنین برنامه برای خرید نسخه ویژه و یا ارتقاء به نسخه­ ی غیر رایگان، یک صفحه ­ی فیشینگ به کاربر نمایش داده می‌شود. البته کنترل لینک و نمایش صفحه فیشینگ در درست توسعه‌دهنده است و تنها زمانی که توسعه‌دهنده قصد نمایش صفحه فیشینگ را داشته باشد، با استفاده از کارگزار کنترل و فرمان، دستور نمایش صفحه پرداخت فعال می‌شود.

دانلود پیوست

دانلود گزارش

یک محقق امنیتی، نقصی را در سیستم‌عامل پیام‌رسان محبوب #‫واتس‌اپ در دستگاه‌های اندرویدی شناسایی کرده است که می‌تواند به مهاجمان، امکان ارتقاء امتیاز و اجرای کد از راه دور (RCE) دهد.

این حفره‌ی امنیتی که توسط یک محقق با نام مستعار "Awakened" کشف شد‌، به عنوان یک اشکال "double-free" توصیف و به آن شناسه‌ی "CVE CVE-2019-11932" اختصاص داده شده است.

این نقص، در نسخه‌ی 2.19.230 واتس‌اپ در دستگاه‌های دارای اندروید 8.1 و 9.0 اجازه‌ی اجرای کد از راه دور را می‌دهد و در نسخه‌های قبلی فقط می‌تواند برای حملات انکار سرویس (DoS) استفاده شود.

آسیب‌پذیری شناسایی‌شده، در یک کتابخانه‌ی منبع‌باز به نام "libpl_droidsonroids_gif.so" وجود دارد که توسط واتس‌اپ برای تولید پیش‌نمایش پرونده‌های GIFاستفاده می‌شود.

بهره‌برداری از این نقص، شامل ارسال یک پرونده‌ی GIFمخرب است که می‌تواند در هنگام بازکردن گالری واتس‌اپ توسط کاربر (به‌عنوان مثال، زمانی که کاربر می‌خواهد برای یکی از مخاطبین خود تصویری ارسال کند) به‌طور خودکار باعث آسیب‌پذیری ‌شود.

به‌گفته‌ی این محقق، مهاجم نمی‌تواند تنها با ارسال یک GIFویژه، از این نقص بهره‌برداری کند و کنترل تلفن همراه را در دست بگیرد. مهاجم ابتدا باید از آسیب‌پذیری دیگری که در تلفن کاربر وجود دارد سوءاستفاده کند تا به چیدمان حافظه دسترسی پیدا کند؛ زیرا یک اشکال "double-free" نیاز دارد تا یک مکان از حافظه را دوبار فراخوانی کند و این کار می‌تواند منجر به خرابی یک برنامه یا ایجاد یک آسیب‌پذیری شود.

در این حالت، هنگامی که یک کاربر واتس‌اپ، نمایه‌ی گالری را برای ارسال پرونده‌ی رسانه باز می‌کند، واتس‌اپ آن‌را با استفاده از یک کتابخانه‌ی منبع‌باز بومی به نام "libpl_droidsonroids_gif.so" برای تولید پیش‌نمایش پرونده‌ی GIFکه شامل چندین فریم رمزگذاری‌شده است، تجزیه می‌کند.

برای ذخیره‌سازی فریم‌های رمزگشایی‌شده، از بافری با نام "rasterBits" استفاده می‌شود. اگر همه‌ی فریم‌ها دارای اندازه‌ی یکسان باشند، مجدداً از "rasterBits" برای ذخیره‌ی قاب‌های رمزگشایی‌شده، بدون تخصیص مجدد استفاده می‌شود که همین امر می‌تواند به مهاجم اجازه‌ی سوءاستفاده از آسیب‌پذیری دهد.

پس از بهره‌برداری، دو بردار حمله وجود دارد که مهاجمان می‌توانند از آن استفاده کنند. اولین مورد، افزایش امتیاز محلی است که در آن، یک برنامه‌ی مخرب بر روی دستگاه نصب می‌شود که آدرس کتابخانه‌های "zygote" (فرایند قالب برای هر برنامه و سرویس آغازشده در دستگاه) را جمع‌آوری می‌کند و یک فایل GIFمخرب تولید می‌کند که منجر به اجرای کد در متن واتس‌اپ می‌شود.

این کار به نرم‌افزار مخرب اجازه می‌دهد تا پرونده‌های موجود در سندباکس واتس‌اپ از جمله پایگاه‌داده‌ی پیام را سرقت کند.

بردار حمله‌ی دوم، RCEاست که در آن، یک مهاجم با برنامه‌ای که دارای آسیب‌پذیری افشای اطلاعات حافظه‌ی از راه دور است، برای جمع‌آوری آدرس‌های کتابخانه‌های "zygote" و تهیه‌ی یک فایل GIFمخرب جفت می‌شود. به محض اینکه کاربر نمای گالری را در واتس‌اپ باز می‌کند، پرونده‌ی GIFیک پوسته در زمینه‌ی واتس‌اپ ایجاد می‌کند.

Awakend، فیس بوک را از این اشکال مطلع کرد و این شرکت، همان زمان وصله‌ی رسمی برای برنامه را در نسخه‌ی واتس‌اپ 2.19.244 منتشر نمود.

به کاربران توصیه می‌شود که واتس‌اپ خود را به این نسخه به‌روز کنند تا از این اشکال در امان بمانند.

بنا به کشفیات محققان امنیتی، یک #‫آسیب‌‌پذیری روز صفرم وصله‌نشده در سیستم‌های اندرویدی وجود دارد که اکثر گوشی‌های هوشمند اندرویدی جدید برندهای معروف را هدف قرار می‌دهد. بنا به گفته‌ی محققان، متأسفانه این آسیب‌پذیری تحت سوءاستفاده‌ی فعال است.

این آسیب‌پذیری که با شناسه‌ی CVE-2019-2215ردیابی می‌شود و از نظر شدت، «بالا» رتبه‌بندی شده است، یک آسیب‌پذیری استفاده پس از آزادسازی است که سوءاستفاده از آن به مهاجم اجازه می‌دهد دسترسی ریشه‌ای به هدف به‌دست آورد.

اگرچه گوگل قبلاً این نقص را در نسخه‌های قبلی اندروید برطرف ساخته است؛ این نقص طی مرور کد Pixel 2در آخرین وصله‌ی امنیتی، کشف شده است. اگرچه این نقص قبلاً در ماه دسامبر سال 2017 در هسته‌ی 4.14 Linux، هسته‌ی Android Open Source Project (AOSP) 3.18، هسته‌ی AOSP 4.4و هسته‌ی AOSP 4.9برطرف شده است؛ اما در نسخه‌های اخیر و به‌ویژه دستگاه‌‌هایی که Android 8.xو نسخه‌های پس از آن را اجرا می‌کنند، دوباره ظاهر شده است. بنابراین، کاربرانی که دارای گوشی‌های هوشمند مدل قدیمی هستند با مشکلی مواجه نمی‌شوند.

دستگاه‌هایی که تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند، عبارتند از:

• Pixel 2دارای سیستم‌عامل Android 9و Android 10 preview
• Huawei P20
• Xiaomi Redmi 5A
• Xiaomi Redmi Note 5
• Xiaomi A1
• Oppo A3
• Motorola Moto Z3
• گوشی‌های LGدارای سیستم‌عامل Android 8 Oreo
• Samsung Galaxy S7,S8,S9

دستگاه‌های Pixel 3و Pixel 3aبه این نقص آسیب‌پذیر نیستند.

از آنجاییکه این آسیب‌پذیری به طور عمومی افشا شده است و کد اثبات مفهوم (PoC)آن نیز برای سوءاستفاده در دسترس است، مورد سوءاستفاده قرار گرفته است.

گروه تحقیقات امنیتی Project Zeroاز گوگل هشدار داد که احتمال دارد این آسیب‌پذیری توسط فن‌‌آوری‌های گروه NSOمستقر در اسرائیل یا یکی از مشتریانش مورد سوءاستفاده قرار گرفته باشد. گروه NSOبه دلیل فروش سوءاستفاده‌های روز صفرم به دولت‌های مجاز، مورد سرزنش قرار گفته است. اعتقاد بر این است که برخی از این دولت‌ها از فن‌آوری NSOعلیه فعالان حقوق بشر و روزنامه‌نگاران در حملات هدف، استفاده کرده‌اند.

آسیب‌پذیری وصله‌نشده‌ی CVE-2019-2215می‌تواند به روش‌های مختلفی مورد سوءاستفاده قرار گیرد. در یک سناریو، هدف فریب داده می‌شود که یک برنامه‌ی جعلی را دانلود کند. روش دوم آلوده‌سازی شامل زنجیرکردن این نقص با آسیب‌پذیری دیگر در کدی است که مرورگر کروم برای رندر‌کردن محتویات استفاده می‌کند.

گوگل اطمینان داد که این نقص آنگونه که به‌نظر می‌رسد خطرناک نیست. درواقع، سوءاستفاده از آن دشوار است و سوءاستفاده‌ی بالقوه از آن نیاز به نصب یک برنامه‌ی مخرب دارد. هر بردار حمله‌ی دیگری همچون از طریق مرورگر وب، نیاز به زنجیرشدن با یک سوءاستفاده‌ی دیگر دارد.

وصله‌ی این آسیب‌پذیری، به‌زودی، در به‌روزرسانی امنیتی ماه اکتبر اندروید گوگل وصله خواهد شد.

در بهمن ماه سال 1397 اخباری مبنی بر سوء استفاده از دستگاه‌های یوبی‌کوئیتی ( #‫Ubiquiti )برای انجام حمله DDoSبا بیت‌ریت قابل توجه منتشر شد. این حمله از آسیب‌پذیر بودن سرویس فعال بر روی پورت UDP/10001این دستگاه‌ها سوء‌استفاده نموده بود (دستگاه‌های یوبی‌کوئیتی برای تسریع عملیات شناسایی شدن توسط سایر تجهیزات شبکه، سرویس معرفی خود را بر روی پورت 10001 خود اجرا می‌کنند). نفوذگران دریافته بودند که می‌توانند با ارسال بسته‌های UDPکوچک 56 بایتی، پاسخی 206 بایتی دریافت کنند و بدین ترتیب حملات DDOS Amplificationای با ضریب تقویت حدود 3.67 ترتیب داده بودند (جزء حملات DDOS Amplificationبا ضریب تقویت پائین محسوب می‌گردد).

در سال 2016 میلادی نیز بات‌نتی با نام Brickerbot، نام میزبان برخی از دستگاه‌های یوبی‌کوئیتی آسیب‌پذیر را تغییر داده بود. هدف نویسنده این بات‌نت، تخریب دستگاه‌های آسیب‌پذیر IoTپیش از آلوده شدن به سایر بدافزارها مانند miraiو شرکت ناآگاهانه در حملات آتی بوده است. وی قصد داشته صاحبان دستگاه‌های آسیب‌پذیر را مجبور کند تا دستگاه‌های خود را به روزرسانی کنند. هر دستگاه یوبی کوئیتی که "سرویس Telnetآن از طریق شبکه اینترنت قابل دسترسی بوده و تنظیمات کارخانه دستگاه تغییر داده نشده باشد" یا "به روز نشده و آسیب‌پذیر باشد" در معرض آلودگی به این بات‌نت قرار داشت (یکی از نام‌های کاربری و پسوردهای مورد استفاده برای حمله که به طور پیش فرض در دستگاه‌ها وجود دارد نام کاربری و رمزعبور ubntاست). این شبکه بات در صورتی که دستگاهی با چنین مشخصاتی شناسایی می‌نمود، مقدار hostnameدستگاه را به یکی از موارد زیر تغییر می‌داد تا به مالکان راجع به آسیب‌پذیری سوء استفاده شده هشدار دهد:

-SOS-DEFAULT-PASSWORDHACKED-ROUTER-HELP

-SOS-HAD-DUPE-PASSWORDHACKED-ROUTER-HELP

-SOS-HAD-DEFAULT-PASSWORDHACKED-ROUTER-HELP

HACKED-ROUTER-HELP-SOS-VULN-EDB-39701

HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED

HACKED-ROUTER-HELP-SOS-WEAK-PASSWORD

نام‌های تغییر یافته نشان‌دهنده استفاده از پسوردهای ضعیف، ساده و پیش فرض و حتی استفاده از نسخه به روز نشده (به عنوان نمونه، دارای آسیب‌پذیری آپلود فایل با شماره VULN-EDB-39701) توسط کاربران است.

این تجهیزات اغلب توسط شرکت‌های بزرگ ارائه‌دهنده خدمات اینترنت مورد استفاده قرار می‌گیرند

روش مقابله و امن‌سازی

برای جلوگیری از انواع حملات تشریح شده به دستگاه‌های یوبی‌کوئیتی لازم است موارد زیر هرچه سریع‌تر در دستگاه‌های آلوده اعمال شوند:

1. مسدود کردن دسترسی به پورت UDP/10001از بیرون شبکه (در صورت عدم امکان مسدودسازی لازم است در تنظیمات دستگاه قابلیت discoveryاین سرویس با استفاده از دستور زیر غیر فعال شود)

set service ubnt-discover disable

1. تنظیمات کارخانه‌ای دستگاه تغییر داده شوند.
2. دسترسی به telnetدستگاه غیر فعال شود.
3. دستگاه به روزرسانی شود.
4. درخصوص آن دسته از دستگاه‌هایی که نام میزبان آن‌ها تغییر یافته است، بایستی Firmwareدستگاه مجدداً نصب و پیکربندی گردد.

#‫رمزگشا ی باج‌افزار Auroraتوسط پژوهشگران به‌روزرسانی شد.

این باج‌افزار که به نام‌های Zorro، Desuو AnimusLockerنیز شناخته می‌شود، با بهره گیری از الگوریتم‌های XTEAو RSAفایل‌های قربانیان را رمزگذاری کرده و پیغام‌ باج‌خواهی خود را در قالب یک فایل متنی و با اسامی زیر در سیستم قربانی قرار می‌دهد:

• !-GET_MY_FILES-!.txt
• #RECOVERY-PC#.txt
• @_RESTORE-FILES_@.txt

دانلود گزارش کامل

#‫رمزگشا ی باج‌افزار Muhstikتوسط پژوهشگران ارائه شد.

این باج‌افزار با نفوذ به ذخیره‌سازهای QNAPو با بهره‌گیری از الگوریتم AES-256فایل‌های قربانیان را رمزگذاری کرده و پیغام‌ باج‌خواهی خود را در قالب یک فایل متنی و با نام‌ README_FOR_DECRYPT.txtدر سیستم قربانی قرار می‌دهد.

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .muhstikمی‌باشند، می توانید با این رمزگشا فایل های خود را رمزگشایی کنید.

به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید:

https://www.emsisoft.com/ransomware-decryption-tools/muhstik

سیسکو اخیرا به‌روزرسانی جدیدی برای چندین محصول خود که شامل محصولاتی همچون Cisco ASA، FMCو FTDبوده، منتشر کرده ‌است و ۱۸ آسیب‌پذیری مربوط به محصولاتش را رفع کرد.

شرکت سیسکو تمامی این ۱۸ آسیب‌پذیری را خطرناک و با ریسک بالا اعلام کرده است. بهره‌برداری موفق از این آسیب‌پذیری‌ها می‌تواند منجر به دست آوردن دسترسی بدون مجوز به سیستم‌های مجهز به نرم‌افزار آسیب‌پذیر سیسکو شوند.

تمامی این آسیب‌پذیری‌ها، ۳ نرم‌افزار عمده سیسکو را تحت عناوین Cisco ASA Software ،Cisco FMC Softwareو Cisco FTD Software تحت تاثیر قرار می‌دهد.

در میان این ۱۸ آسیب‌پذیری، ۱۲ مورد آن نرم‌افزار Cisco FMCرا تحت تاثیر قرار می‌دهد, علاوه بر این ۴ مورد از آسیب‌پذیری‌ها هردو نرم‌افزارهای Cisco FTDو Cisco ASAبه صورت مشترک و درنهایت ۲ مورد آسیب‌پذیری باقی مانده نیز به ترتیب نرم‌افزار Cisco ASAو نرم‌افزار Cisco FTDرا تحت تاثیر قرار می‌دهد.

نرم‌افزار Cisco FMCبه شدت توسط بعضی از این آسیب‌پذیری‌های خطرناک تحت تاثیر قرار گرفته که می‌تواند باعث شود که مهاجمان حملات خطرناکی از جمله SQL injection، command injectionو حتی اجرای کد از راه دور را انجام دهند.

سیسکو آسیب‌پذیری مربوط به اجرای کد از راه دور ( CVE-2019-12687)را که در رابط کاربری تحت وب در نرم‌افزار Cisco FMCموجود بود را پچ کرده و توانسته این حفره امنیتی را رفع کند.

شایان ذکر است که 9 آسیب‌پذیری مربوط به SQL injectionبرای نرم‌افزار Cisco FMCتوسط این شرکت پچ شده است. دلیل وجود این آسیب‌پذیری‌ها عدم اعتبارسنجی صحیح ورودی‌ها می‌باشد. درنهایت سیسکو اعلام کرده که سریعا اقدام به نصب آخرین پچ‌های موجود در وب‌سایت خود به نشانی https://tools.cisco.com/security/center/publicationListing.xکرده تا از حملات سایبری در امان ماند.

منبع خبر:

https://gbhackers.com/18-vulnerabilities-that-affected-cisco-softwares-let-hackers-perform-dos-rce-to-gain-unauthorized-system-access/

https://tools.cisco.com/security/center/publicationListing.x

اخیرا 8 آسیب‌پذیری خطرناک بر روی ابزار Foxit Readerکه ابزاری برای خواندن و ویرایش اسناد PDFاست، کشف شد. این درحالی است که این شرکت وصله‌های مناسب جهت رفع این حفره‌های امنیتی را منتشر کرده است. این باگ‌ها که بر روی نسخه ویندوز این برنامه موجود می‌باشند، منجر به اجرای کد دلخواه از راه دور توسط مهاجم می‌شوند. از آنجایی که محبوبیت این ابزار در حدی است که طبق ادعای شرکت این برنامه در سال گذشته 475 میلیون کاربر از ابزار این شرکت استفاده کرده‌اند، باعث می‌شود سیستم‌های بیشتری در خطر باشند. این شرکت اکیداً توصیه می‌کند که نرم‌افزار خود را به‌روزرسانی کنید و آن را به نسخه 9.7 ارتقا دهید.

یکی از خطرناک‌ترین آسیب‌پذیری‌های موجود که(CVE-2019-5031(می‌باشد دارای امتیاز 8.8 از 10 طبق امتیاز‌دهی CVSSمی‌باشد و این آسیب‌پذیری با موتور جاوا اسکریپت در تعامل می‌باشد. در Foxit Readerاز جاوا اسکریپت برای فرم‌های داینامیک استفاده می‌شود. به عنوان مثال، هنگامی که کابر یک سند PDFرا باز می‌کند این عمل می‌تواند توسط جاوا اسکریپت اجرایی شود.

طبق گفته Cisco Talosکه حفره امنیتی مربوط جاوا اسکریپت را یافته است، مهاجم برای بهره‌ برداری از این آسیب‌پذیری کافی است یک فایل آلوده را برای کاربر فرستاده و کاربر نیز فایل را اجرا کند و این درحالی است که با داشتن افزونه مربوط به مرورگر شرکت Foxitو باز کردن اسناد آنلاین آلوده بازهم امکان بهره‌برداری از این آسیب‌پذیری وجود دارد.

در سال گذشته بیش از 100 آسیب‌پذیری توسط شرکت Foxit Softwareوصله شدند که بیشتر این آسیب‌پذیری‌ها شامل اجرای کد از راه دور با خطری بالا بودند.

منبع خبر:

https://threatpost.com/foxit-pdf-reader-vulnerable-to-8-high-severity-flaws/148897