‫ اخبار

#‫نرم‌افزار از پیش نصب شده میلیون‌ها کامپیوتر شخصی Dell دارای یک آسیب‌پذیری است که می‌تواند برای بدست گرفتن کنترل کامل سیستم، مورد بهره‌برداری قرار گیرد.
این آسیب‌پذیری در نرم‌افزار SupportAssist وجود دارد که برای بهینه‌سازی کامپیوتر و به‌روز نگه داشتن سیستم‌عامل طراحی شده است و به همین دلیل سطح دسترسی بالایی در سیستم برای آن در نظر گرفته می‌شود. پس وجود آسیب‌پذیری در آن می‌تواند بسیار خطرناک باشد.
یک محقق از شرکت SafeBreach به نام Peleg Hadar متوجه شده است که این نرم‌افزار فایل‌هایDLL را به شکل نا امن بارگذاری می‌کند. در نتیجه، شما می‌توانید فایل‌های خراب DLL که می‌توانند کدهای کامپیوتر را روی ماشین اجرا کنند، در این نرم‌افزار اجرا کنید.
این آسیب‌پذیری می‌تواند خبر خوبی برای مهاجمانی باشد که می‌خواهند یک بدافزار را در رایانه هدف قرار دهند زیرا می‌توانند از این نقص برای دانلود کدهای مخرب اضافی در دستگاه هدف، بهره‌برداری کند.
شرکت Dell در پاسخ بلافاصله وصله این آسیب‌پذیری را منتشر کرد که به صورت خودکار روی نسخه‌های آسیب‌پذیر نصب می‌شود. همچنین می‌توان از طریق مراجعه به صفحه پشتیبانی این شرکت به صورت دستی به‌روزرسانی را دانلود کرد. محصولات آسیب‌پذیر شامل SupportAssist for Business PCs نسخه 2.0 و SupportAssist for Home PCs نسخه 3.2.1 و قبل‌تر می‌شود.
بر طبق وب سایت این شرکت، SupportAssist توسط میلیون‌ها نفر از مشتریان آن‌ها استفاده می‌شود. متاسفانه این آسیب‌پذیری روی اکثر برندهای این شرکت تاثیرگذار است زیرا این نقص در یک کامپوننت شخص ثالث از شرکتی به نام PC-Doctor از این نرم‌افزار موجود است که متخصص تولید نرم‌افزار ابزارهای تشخیص و شناسایی می‌باشد.
شرکت PC-Doctor طی یک بیانیه اعلام کرد که این آسیب‌پذیری در نرم‌افزار PC-Doctor Toolbox این شرکت برای ویندوز نیز وجود دارد که در بیش از 100 میلیون کامپیوتر از سایر فروشندگان PC نصب شده است.
برای بهره‌برداری از این آسیب‌پذیری، یک کاربر یا فرآیند مدیریتی باید مسیر environment variable سیستم را تغییر دهد تا شامل یک پوشه قابل نوشتن توسط کاربران غیرمدیریتی شود و همچنین یک DLL را تغییر دهد که بتواند از مجوزهای مدیریتی PC-Doctor بهره‌برداری کند. پس اگر کامپیوتری به عنوان یک حساب کاربری مدیریتی در حال اجرا باشد، بهره‌برداری از این آسیب‌پذیری برای مهاجمان آسان‌تر است.
همچنین شرکت PC-Doctor شروع به انتشار وصله مربوطه برای سایر فروشندگان تحت‌تاثیر کرده است ولی هیچ گزارشی از لیست این فروشندگان ارائه نداده است.

لینک خبر:
https://www.pcmag.com/news/369166/pre-installed-supportassist-tool-on-dell-pcs-vulnerable-to

محققان امنیت سایبری از کشف یک نقص حیاتی در افزونه محبوب #‫Evernote مرورگر #‫گوگل_کروم خبر دادند که به مهاجمان اجازه هایجک مرورگر و سرقت اطلاعات حساس از هر وب‌سایتی که به آن دسترسی دارید را می‌دهد.
Evernote یک سرویس محبوب است که به مردم کمک می‌کند که یادداشت‌ها و لیست کارهای خود را سازماندهی کنند و بیش از 4.5 میلیون کاربر، از افزونه Evernote Clipper Web موجود در این سرویس برای مرورگر کروم‌ خود استفاده می‌کنند.
این آسیب‌پذیری توسط Guardio کشف شده و دارای شناسه CVE-2019-12592 می‌باشد و مربوط به نحوه تعامل این افزونه با وب‌سایت‌ها، iframeها و اسکریپت‌های تزریقی می‌باشد و در نهایت سیاست‌های امنیتی مرورگر و مکانیزم‌های انزوای دامنه آن را از بین می‌برد.
به گفته محققان، این آسیب‌پذیری می‌تواند به وب‌سایت تحت کنترل مهاجم، اجازه اجرای کد دلخواه در مرورگر و در محتوای دامنه‌های دیگر، از طرف کاربران را بدهد و منجر به آسیب‌پذیری UXSS یا Universal XSS شود.
محققان همچنین PoC مربوط به این آسیب‌پذیری را هم منتشر کرده‌اند که می‌تواند پیلود مخرب را در وب‌سایت‌های هدف تزریق کند و کوکی‌ها، اعتبارنامه‌ها و سایر اطلاعات خصوصی کاربران را سرقت کند.
بدون شک افزونه‌ها ویژگی‌های بسیار مفیدی را به مرورگرهای وب اضافه می‌کنند، اما در عین حال ایده اعتماد کردن به یک کدنویسی شخص ثالث خیلی خطرناک‌تر از آن است که افراد فکر می‌کنند.
لینک خبر:
https://www.cirt.gov.bd/critical-flaw-reported-in-popular-evernote-extension-for-chrome-users-thehackernews/

#‫مایکروسافت از یک #‫آسیب‌پذیری مهم با شناسه CVE-2019-1105 در اپلیکیشن Microsoft Outlook خبر داد که به طور بالقوه بیش از 100 میلیون کاربر را تحت‌تاثیر قرار می‌دهد و نسخه‌های قبل 3.0.88 از این اپلیکیشن را شامل می‌شود. این آسیب‌پذیری یک مسئله XSS مربوط به نحوه تجزیه پیام‌های ایمیل دریافتی توسط این اپلیکیشن است.
طبق گزارش امنیتی منتشر شده مایکروسافت، آسیب‌پذیری از نوع spoofing موجود در این اپلیکیشن اندرویدی مایکروسافت، در نحوه تجزیه پیام‌های ایمیل مخصوصاً ساخته شده وجود دارد و مهاجم احراز هویت شده می‌تواند با ارسال یک پیام ایمیل مخرب به قربانی، از این آسیب‌پذیری بهره‌برداری کند.
مهاجمی که با موفقیت این آسیب‌پذیری را بهره‌برداری کند، می‌تواند حملات XSS را بر روی سیستم‌های آسیب‌پذیر انجام دهد و اسکریپت‌های دلخواه را با سطح دسترسی فعلی کاربر اجرا کند.
به‌روزرسانی امنیتی مربوط به این آسیب‌پذیری، این مشکل را با اصلاح نحوه تجزیه پیام‌های ایمیل مخصوصاً ساخته شده رفع کرده است.
مهاجم می‌تواند با ارسال یک پیام ایمیل خاص به قربانی و سپس اجرای کدهای مخرب در محتوای کاربر فعلی، این آسیب‌پذیری را اکسپلویت کند و به طور بالقوه زمینه اجرای حملات Spoofing را هم فراهم کند.
لازم به ذکر است که مسئله Spoofing، به طور جداگانه توسط محققین امنیتی متعددی گزارش شده است و همچنین تابحال هیچ گزارشی از بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری در محیط بیرون ارائه نشده است.
مایکروسافت هم هیچگونه جزئیات فنی مربوط به این آسیب‌پذیری را تابحال منتشر نکرده است.

#‫بدافزار جدیدی در فروشگاه #‫گوگل_پلی کشف شده است که کاربران را به وب‌سایت‌های مخرب هدایت می‌کند و به شکل منظم برایشان اعلان‌های تبلیغاتی قرار می‌دهد. این بدافزار به صورت پنهان و تحت نرم‌افزار رسمی برند‌های مشهور توزیع شده است.
اعلان‌های وب یک ویژگی است که به وب‌سایت‌ها اجازه می‌دهد که اعلان‌هایشان را برای کاربران ارسال کنند، حتی اگر وب‌سایت مربوطه باز نباشد. مهاجمان هم با انتشار تبلیغات و اعلان‌های جعلی و کلاهبرداری که از وب‌سایت‌های هک‌شده و مخرب می‌آیند، از این ویژگی سوءاستفاده می‌کنند.
طبق گزارش تیم امنیتی Dr.web، تروجان Android.FakeApp.174 یکی از اولین بدافزار‌هایی است که به مهاجمان کمک می‌کند تا تعداد بازدیدکنندگان این وب‌سایت‌های جعلی و مخرب را افزایش دهند و همچنین اعلان‌هایشان را برای کاربران تلفن‌های هوشمند و تبلت‌ها نیز به اشتراک بگذارند.
محققان دو نوع از این نرم‌افزارها را در فروشگاه گوگل کشف کرده‌اند که وب‌سایت‌های مخرب را از طریق مرورگر کروم بارگذاری می‌کنند و چندین تغییر مسیر را به صفحات برنامه‌های مختلف وابسته انجام می‌دهند.
هر یک از صفحات بازدید شده، اعلان‌هایی را به کاربران نشان می‌دهند و به کاربران اطلاع می‌دهد که این اعلان‌ها برای اهدافی مثل احراز هویت هستند. همین امر منجر به افزایش تعداد اشتراک‌های موفق مهاجمان می‌شود.
هنگامی که اشتراکی تایید می‌شود، وب‌سایت‌ها شروع به قرار دادن اعلان‌های جعلی مختلفی از جمله جوایز نقدی، پیام‌های انتقال، پیام‌های جدید در رسانه‌های اجتماعی و تبلیغاتی شامل طالع بینی، کالاها و خدمات و یا حتی اخبار مختلف می‌کنند.
این اعلان‌های جعلی به نظر خیلی واقعی می‌آیند و از طرف سرویس‌های آنلاین محبوب هستند و همچنین لینک وب‌سایتی معتبری که اعلان مربوطه از آن می‌آید را هم دارند که منجر به، معتبر به نظر رسیدن آن‌ها می‌شود.
با کلیک کردن کاربر بر روی لینک اعلان‌های مورد نظر، آن‌ها به صفحه با محتوای مخرب هدایت می‌شوند که شامل تبلیغات مختلف، فروشگاه‌های شرط‌بندی، برنامه‌های مختلف فروشگاه گوگل پلی، تخفیف‌ها، نظرسنجی‌های جعلی آنلاین و سایر منابع آنلاین دیگر می‌شود که بر اساس کشور کاربر قربانی، متفاوت است.
کاربران باید هنگام بازدید از وب‌سایت‌ها مراقب باشند و در اعلان‌های مختلف و مشکوک، مشترک نشوند. همچنین به کاربران اندرویدی که قبلاً برای اعلانی مشترک شده‌اند، توصیه می‌شود که مراحل زیر را برای خلاص شدن از این اعلان‌های اسپم انجام دهند.
• در تنظیمات مرورگر کروم ابتدا به Site Settings و بعد به Notifications بروید.
• در فهرست وب‌سایت‌های دارای اعلان، آدرس وب‌سایت را پیدا کنید و روی آن ضربه بزنید و Clear & reset را انتخاب کنید.

شرکت #‫سیسکو وصله مربوط به چندین #‫آسیب‌پذیری در سطح بحرانی و شدید موجود در محصولاتش از جمله SD-WAN، DNA Center، TelePresence، StarOS، RV router، Prime Service Catalog و Meeting Server را منتشر کرد.
طبق گفته سیسکو، محصول DNA Center (مرکز معماری شبکه دیجیتال) این شرکت، تحت‌تاثیر یک آسیب‌پذیری بحرانی قرار دارد که به یک مهاجم شبکه، اجازه دور زدن احراز هویت و دسترسی به سرویس های داخلی بحرانی را می‌دهد.
رابط کاربری خط فرمان (CLI) در محصول SD-WAN هم دارای یک آسیب‌پذیری بحرانی است که می‌تواند توسط یک مهاجم محلی برای افزایش سطح دسترسی به روت و تغییر دلخواه پیکربندی سیستم مورد بهره‌برداری قرار گیرد.
این محصول SD-WAN تحت‌تاثیر یک آسیب‌پذیری در سطح شدید دیگر قرار دارد که امکان افزایش سطح دسترسی از طریق رابط کاربری تحت وب vManage را فراهم می‌کند. این محصول با یک آسیب‌پذیری در سطح شدید دیگر هم روبروست که به مهاجم از راه دور و احراز هویت شده، اجازه اجرای دستورات با سطح دسترسی روت را می‌دهد.
یک آسیب‌پذیری شدت بالا نیز که منجر به ایجاد شرایط منع سرویس می‌شود، در سیستم‌عامل StarOS و چندین RV router کشف شده است که می‌تواند بدون احراز هویت از راه دور مورد بهره‌برداری قرار گیرد.
دیگر آسیب‌پذیری‌های شدید که در هفته جاری توسط سیسکو رفع شده‌اند، عبارتند از یک آسیب‌پذیریCSRF در نرم‌افزار Prime Service Catalog و یک آسیب‌پذیری تزریق دستور در Meeting Server و نرم‌افزار TelePresence.
سیسکو همچنین بیش از دوازده آسیب‌پذیری در سطح متوسط را در سرویس‌های نرم‌افزاری گسترده، RV router ، Prime Service Catalog ، Prime Infrastructure Virtual Domain ، Integrated Management Controller ، Email Security Appliance ، Security Manager و Enterprise Chat and Email رفع کرده است.
طبق گفته سیسکو، تابحال هیچ شواهدی از بهره‌برداری مخرب از این آسیب‌پذیری‌ها ارائه نشده است زیرا بسیاری از این حفره‌های امنیتی توسط خود سیسکو در حین آزمایشات امنیتی داخلی کشف شده است.

دو روز پیش، #‫سیسکو وصله #‫آسیب‌پذیری بحرانی موجود در رابط کاربری تحت وب نرم‌افزار IOS XE خود را منتشر کرد. این آسیب‌پذیری می‌تواند به مهاجم احراز هویت نشده و از راه دور اجازه اجرای حملات CSRF روی سیستم آسیب‌پذیر را بدهد.
این آسیب‌پذیری ناشی از عدم اعتبارسنجی در رابط کاربری تحت وب است و به مهاجم اجازه می‌دهد که آن را با متقاعد کردن کاربر فعلی به دنبال کردن یک لینک مخرب، اکسپلویت کند. بهره‌برداری موفق از این آسیب‌پذیری، به مهاجم اجازه اجرای کد دلخواه را با سطح دسترسی کاربر آسیب‌پذیر می‌دهد.
اگر کاربر آسیب‌پذیر دارای سطح دسترسی مدیریتی باشد، مهاجم می‌تواند دستورات را اجرا کند، دستگاه را بارگذاری مجدد کند و همچنین پیکربندی دستگاه آسیب‌پذیر را تغییر دهد.
این آسیب‌پذیری در حین آزمایش امنیتی داخلی شناسایی شد و می‌توان آن را با شناسه CVE-2019-1904 دنبال کرد.
تیم امنیتی محصولات سیسکو (PSIRT) از وجود کد اکسپلویت این آسیب‌پذیری آگاه است، اما تابحال هیچ گزارشی از عمومی شدن این کد اکسپلویت ارائه نشده است.
مدیران می‌توانند نسخه نرم‌افزار IOS XE سیسکو بر روی دستگاه خود را با اجرای دستور زیر تشخیص دهند.
ios-xe-device# show version
سیسکو تایید می‌کند که تابحال هیچ راه‌حلی برای رفع این موضوع ارائه نشده است و توصیه می‌شود که برای از بین بردن بردار حمله تا زمانی که سیستم آسیب‌پذیر به‌روزرسانی می‌شود، ویژگی HTTP Server غیر فعال شود.
مدیران می‌توانند ویژگی HTTP Server خود را با استفاده از دستور no ip http server یا no ip http secure-server در حالت پیکربندی جهانی غیرفعال کنند.

#‫آسیب‌پذیری‌های چندگانه‌ای در #‫VLC_Media_Player شناسایی شده است که شدید‌ترین آن می‌تواند موجب اجرای کد دلخواه شود. VLC یک پخش‌کننده محتواهای چندرسانه‌ای است. بهره‌برداری موفق از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب اجرای کد دلخواه در محتوای نرم‌افزار آسیب‌پذیر شود. بسته به مجوزهای مربوط به این نرم‌افزار، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. اگر این نرم‌افزار به گونه‌ای پیکربندی شده‌ باشد که سطح دسترسی کاربری کمتری در سیستم داشته باشد، می‌تواند کمتر از نرم‌افزارهایی که با دسترسی مدیریتی کار می‌کنند، آسیب‌پذیر باشند. بهره‌برداری ناموفق می‌تواند منجر به اجرای شرایط منع سرویس شود.

تهدید امنیتی:
در حال حاضر هیچ گزارشی مبنی بر سوء استفاده از این آسیب‌پذیری‌ها در دنیای بیرون ارائه نشده است.

سیستم‌های تحت‌تاثیر این آسیب‌پذیری‌ها:
• VLC Media Player، نسخه‌‌های تا قبل از 3.0.7

ریسک‌پذیری و مخاطره:
دولتی :
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

کسب و کار و تجارت :
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

کاربران خانگی :
• کم

توصیه ها:
توصیه می‌شود که اقدامات زیر انجام شود:
• بلافاصله پس از آزمایش مناسب، وصله مناسب ارائه‌شده توسط VLC به سیستم‌های آسیب‌پذیر اعمال شود.
• برای کاهش اثر حملات موفقیت‌آمیز، همه‌ی نرم‌افزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید.
• تذکر به کاربران برای بازدید نکردن از وب‌سایت‌های با منبع نامعتبر و همچنین دنبال نکردن لینک‌های ناشناس.
• اطلاع‌رسانی و آموزش کاربران در مورد تهدیدات ناشی از لینک‌های ابرمتن موجود در ایمیل‌ها یا ضمیمه‌ها مخصوصاً از منابع نامعتبر و ناشناس.
• اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.

منابع:
REFERENCES:
VLC:
http://www.videolan.org/
CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5439

#‫آسیب‌پذیری‌های چندگانه‌ای در #‫Mozilla_Thunderbird شناسایی شده است که شدید‌ترین آن می‌تواند موجب اجرای کد دلخواه شود. Mozilla Thunderbird یک سرویس ایمیل است. بهره‌برداری موفق از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب به دست گرفتن کنترل سیستم آسیب‌پذیر توسط مهاجمان شود و بسته به مجوزهای مربوط به این برنامه، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. کاربرانی که حساب‌های آنها به گونه‌ای پیکربندی شده‌ است که سطح دسترسی کاربری کمتری در سیستم داشته باشند، می‌توانند کمتر از کسانی که با حقوق کاربری مدیریتی کار می‌کنند، آسیب‌پذیر باشند.
تهدید امنیتی:
در حال حاضر هیچ گزارشی مبنی بر سوء استفاده از این آسیب‌پذیری‌ها در دنیای بیرون ارائه نشده است.
سیستم‌های تحت‌تاثیر این آسیب‌پذیری‌ها:
• سرویس Mozilla Thunderbird، نسخه‌ 60.7.1 و قبل از آن

ریسک‌پذیری و مخاطره:
دولتی :
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

کسب و کار و تجارت :
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

جزئیات این آسیب‌پذیری‌ها به شرح زیر است:
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به سرریز بافر heap در parser_get_next_char می‌شود. CVE-2019-11703
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به سرریز بافر heap در icalmemory_strdup_and_dequote می‌شود. CVE-2019-11704
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به سرریز بافر پشته در icalmemory_strdup_and_dequote می‌شود. CVE-2019-11705
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به type confusion در icaltimezone_get_vtimezone_properties می‌شود. CVE-2019-11706
•
بهره‌برداری موفق از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب به دست گرفتن کنترل سیستم آسیب‌پذیر توسط مهاجمان شود و بسته به مجوزهای مربوط به این برنامه، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. کاربرانی که حساب‌های آنها به گونه‌ای پیکربندی شده‌ است که سطح دسترسی کاربری کمتری در سیستم داشته باشند، می‌توانند کمتر از کسانی که با حقوق کاربری مدیریتی کار می‌کنند، آسیب‌پذیر باشند.
توصیه ها:
توصیه می‌شود که اقدامات زیر انجام شود:
• بلافاصله پس از آزمایش مناسب، وصله مناسب ارائه‌شده توسط موزیلا به سیستم‌های آسیب‌پذیر اعمال شود.
• برای کاهش اثر حملات موفقیت‌آمیز، همه‌ی نرم‌افزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید.
• تذکر به کاربران برای بازدید نکردن از وب‌سایت‌های با منبع نامعتبر و همچنین دنبال نکردن لینک‌های ناشناس.
• اطلاع‌رسانی و آموزش کاربران در مورد تهدیدات ناشی از لینک‌های ابرمتن موجود در ایمیل‌ها یا ضمیمه‌ها مخصوصاً از منابع نامعتبر و ناشناس.
• اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.

منابع:
Mozilla:
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/
CVE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11703
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11704
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11705
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11706

یک #‫آسیب‌پذیری‌ در #‫Oracle_WebLogic شناسایی شده است که می‌تواند منجر به اجرای کد دلخواه شود. این آسیب‌پذیری را می‌توان با شناسه CVE-2019-2729 دنبال کرد و دارای امتیاز پایه 9.8 از CVSS می‌باشد. این آسیب‌پذیری در کامپوننت XMLDecoder از WebLogic وجود دارد که می‌تواند منجر به deserialization کد مخرب شود. مهاجم احراز هویت شده می‌تواند از طریق ارسال درخواست‌های مخرب به نرم‌افزار آسیب‌پذیر، این آسیب‌پذیری را مورد بهره‌برداری قرار دهد و بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور با سطح دسترسی ارتقا یافته شود.
تهدید امنیتی:
گزارشاتی مبنی بر بهره‌برداری فعالانه از این آسیب‌پذیری در دنیای بیرون ارائه شده است.
سیستم‌های تحت‌تاثیر این آسیب‌پذیری‌ها:
• نسخه‌های 10.3.6.0.0 و 12.1.3.0.0 و 12.2.1.3.0 از Oracle WebLogic
ریسک‌پذیری و مخاطره:
دولتی :
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : زیاد

کسب و کار و تجارت :
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : زیاد

توصیه ها:
توصیه می‌شود که اقدامات زیر انجام شود:
• بلافاصله پس از آزمایش مناسب، وصله ارائه‌شده توسط اوراکل را به سیستم‌های آسیب‌پذیر اعمال کنید.
• اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.
• قبل از اعمال وصله، اطمینان حاصل کنید که هیچ تغییرات سیستمی غیرمجازی انجام نشده است.
• سیستم‌های تشخیص نفوذ را برای هر نشانه‌ای از فعالیت‌های غیرعادی، بررسی کنید.
• به جز موارد ضروری، دسترسی محصولات آسیب‌پذیر به شبکه‌های خارجی را محدود کنید.

منابع:
Medium:
https://medium.com/@knownsec404team/knownsec-404-team-alert-again-cve-2019-2725-patch-bypassed-32a6a7b7ca15
Oracle:
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

محققان یک #‫آسیب‌پذیری بحرانی روز صفرم در تقویت‌کننده‌های وای‌فای #‫TP-Link کشف کرده‌اند که به مهاجمان اجازه کنترل کامل دستگاه و اجرای دستورات با سطح دسترسی کاربر را می‌دهد.
این آسیب‌پذیری را می‌توان با شناسه CVE-2019-7406 دنبال کرد و روی مدل‌های زیر تاثیرگذار است:
• RE650
• RE350
• RE365
• RE500
مانند دیگر روترها، این تقویت‌کننده روی معماری MIPS هم عمل می‌کند و مهاجمان می‌توانند از طریق ارسال یک درخواست HTTP مخرب بدون نیاز به لاگین و احراز هویت در تقویت‌کننده وای‌فای، از این آسیب‌پذیری بهره‌برداری کنند.
تنها مشکل موجود برای مهاجم، راه‌اندازی شبکه برای برقراری ارتباط با تقویت‌کننده وای‌فای است که اگر کسی در حال حاضر به شبکه هدف متصل باشد، مهاجمان می‌توانند به راحتی به دستگاه هدف دسترسی پیدا کنند.
محققان IBM X-Force با موفقیت دستورات shell را در تقویت‌کننده وای‌فای RE365 اجرا کردند و همچنین پارامترهای درخواست را از دستگاه آسیب‌پذیر مشاهده کردند. این پارامترها شامل فیلد مخصوص user agent هستند که از مرورگر برای دسترسی به تقویت‌کننده استفاده می‌کند.
با ایجاد ارتباط از طریق پورت 4444، مهاجمان قادر به دستیابی کامل به سطح روت بدون هیچگونه افزایش سطح دسترسی در تقویت‌کننده می‌شوند و تمام فرآیندهای در حال اجرا به عنوان روت اجرا می‌شوند.
این آسیب‌پذیری از کاربران خانگی گرفته تا کاربران شرکت‌های سازمانی را تحت‌تاثیر قرار می‌دهد و به مهاجمان اجازه ارسال یک درخواست مخرب به تقویت‌کننده را می‌دهد که منجر به دسترسی احراز هویت نشده به مهاجم می‌شود.
TP-Link وصله‌ این آسیب‌پذیری اجرای کد از راه دور را برای مدل‌های آسیب‌پذیر منتشر کرده است و همچنین اعلام کرد هیچ مدل دیگری از محصولاتش تحت‌تاثیر این آسیب‌پذیری قرار ندارد.
به کاربران توصیه می‌شود که سیستم‌عامل مدل‌های RE365، RE500، RE650 و RE350 را بلافاصله به‌روزرسانی کنند.