چندین ‫آسیب‌پذیری در داشبورد Nexus سیسکو افشا شده است که می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا از راه دور دستورات دلخواه خود را اجرا کند، فایل‌های container image را بخواند یا بارگذاری کند و یا یک حمله CSRF را اجرا کند.
جزئیات آسیب‌پذیری
داشبورد Nexus به عنوان یک کلاستر مستقر شده است و هر گره سرویس را به دو شبکه متصل می‌کند:

• شبکه داده (fabric0, fabric1)
• شبکه مدیریت (mgmt0, mgmt1)

دامنه بهره‌برداری از این آسیب‌پذیری‌ها را می‌توان به رابط‌های شبکه‌ای محدود کرد. توضیحاتی که در ادامه خواهد آمد نشان می‌دهد که آیا شبکه داده، شبکه مدیریت یا هر دو شبکه در معرض آسیب‌پذیری هستند یا خیر.
آسیب‌پذیری‌ها به یکدیگر وابسته نیستند بدین معنی که بهره‌برداری از یکی از آنها ملزم به بهره‌برداری از آسیب‌پذیری‌های دیگر نیست. علاوه بر این، نسخه نرم‌افزاری که تحت تاثیر یکی از آسیب‌پذیری‌ها قرار می‌گیرد ممکن است تحت تاثیر آسیب‌پذیری‌های دیگر قرار نگیرد.

CVE-2022-20857: این آسیب‌پذیری با شدت بحرانی و CVSS Base Score 9.8 می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا از راه دور به یک API خاص که در شبکه داده در حال اجرا است دسترسی داشته باشد و دستورات دلخواه را روی دستگاه آسیب‌دیده اجرا کند. آسیب‌پذیری مذکور، به دلیل کنترل‌های دسترسی ناکافی برای یک API خاص به وجود آمده است. یک مهاجم با ارسال درخواست‌های جعلی HTTP به این API آسیب‌پذیر، از این آسیب‌پذیری بهره‌برداری می‌کند. یک بهره‌برداری موفق مهاجم را قادر می‌سازد تا دستورات دلخواه خود را به عنوان کاربر روت در هر pod روی یک گره اجرا کند.
CVE-2022-20861: این آسیب‌پذیری با شدت بالا و CVSS Base Score 8.8، در رابط کاربری وب که در شبکه مدیریت داشبورد Nexus در حال اجراست، وجود دارد و می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا از راه دور یک حمله CSRF را بر روی دستگاه آسیب‌دیده اجرا کند.
آسیب‌پذیری مذکور، به دلیل محافظت ناکافی در برابر حمله CSRF در رابط کاربری وب در یک دستگاه آسیب‌پذیر اتفاق میافتد. مهاجم می‌تواند با متقاعد کردن کاربر administrator برای کلیک کردن بر روی یک لینک مخرب، از این آسیب‌پذیری سوءاستفاده کند. یک بهره‌برداری موفق به مهاجم اجازه می‌دهد تا اقداماتی را با دسترسی‌های کاربر Administrator انجام دهد.
CVE-2022-20858: این آسیب‌پذیری با شدت بالا و CVSS Base Score 8.2، به بک مهاجم احراز هویت نشده اجازه می‌دهد تا از راه دور به سرویسی که در شبکه‌های داده و مدیریت دستگاه آسیب‌دیده در حال اجراست دسترسی پیدا کند.
آسیب‌پذیری مذکور به دلیل کنترل‌های دسترسی ناکافی برای سرویسی که container imagesها را مدیریت می‌کند اتفاق میافتد. مهاجم قادر است با باز کردن یک اتصال TCP به این سرویس آسیب‌پذیر، از این نقص سوءاستفاده کند. پس از یک بهره‌برداری موفق، مهاجم خواهد توانست container imagesها را دانلود کند یا container imagesهای مخرب را در دستگاه آسیب‌دیده آپلود کند.
این آسیب‌پذیری‌ها داشبورد Nexus را تحت تاثیر قرار می‌دهند.
توجه: برای نسخه‌های قبل از 2.0(1d)، داشبورد Nexus به عنوان Application Services Engine شناخته می‌شد.
در جدول زیر لیست نسخه‌های آسیب‌پذیر داشبورد Nexus و اولین نسخه وصله شده آورده شده است. به کاربران توصیه می‌شود نرم‌افزار خود را به یک نسخه وصله شده ارتقاء دهند.
 

منبع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y

آسیب‌پذیری CVE-2022-28615 در وب سرور Apache
وب سرور آپاچی در نسخه 2.4.53 و نسخه‌های قبل از آن، دارای یک آسیب‌پذیری بحرانی (9.1 از10) می‌باشد. منشأ این آسیب‌پذیری تابع ap_strcmp_match() می‌باشد. در صورتی که در فراخوانی این تابع، پارامترهای ورودی، بسیار بزرگ باشند، سرریز عدد صحیح اتفاق می‌افتد که به نوبه‌ی خود، منجر به آسیب‌پذیری "خواندن خارج از محدوده " می‌شود. اگر چه هیچ کد توزیع شده با سرور httpd را نمی‌توان مجبور به این فراخوانی کرد، با این حال، ماژول‌های third-party یا اسکریپت‌های Lua که از تابع ap_strcmp_match() استفاده می‌کنند، به طور بالقوه می‌توانند تحت تأثیر این آسیب‌پذیری قرار گیرند.
جدول زیر مشخصات آسیب‌پذیری را نشان می‌دهد:

برای رفع آسیب‌پذیری، نسخه‌های آسیب‌پذیری را به 2.4.54 ارتقا دهید

منابع خبر:

https://access.redhat.com/security/cve/cve-2022-28615
https://nvd.nist.gov/vuln/detail/CVE-2022-28615#range-8121002
https://vuldb.com/?id.201527

محققان Wordfence در خصوص افزایش ناگهانی حملات سایبری و تلاش برای بهره‌برداری از یک نقص امنیتی وصله نشده در یک افزونه وردپرس به نام Kaswara Modern WPBakery Page Builder Addons به کاربران هشدار دادند.
جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسه CVE-2021-24284 دارای شدت بحرانی (10) می‌باشد. آسیب‌پذیری مذکور مربوط به آپلود یک فایل دلخواه تایید نشده است و به مهاجمان اجازه می دهد پس از اجرای کد مخرب دلخواه، کنترل سایت‌های وردپرس آسیب‌دیده را در دست بگیرد. اگرچه این نقص امنیتی در ابتدا در ماه آوریل 2021 توسط شرکت امنیتی وردپرس فاش شد، اما این مشکل تا به امروز رفع نشده است.
Wordfence از بیش از 1000 وب‌سایتی که این افزونه را نصب کرده‌اند محافظت کرده و از ابتدای ماه به طور متوسط روزانه 443868 حمله را مسدود کرده است. تخمین زده می‌شود که بین 4000 تا 8000 وب‌سایت مختلف این افزونه را نصب کرده‌اند و کاربران در تلاشند تا آن را از سایت‌های وردپرس خود حذف کنند تا حملات احتمالی را خنثی و سپس جایگزین مناسبی برای آن پیدا کنند.
 

این حملات از 10215 آدرس IP سرچشمه گرفته است که تلاش‌‎ها جهت بهره‌برداری از آن، محدود به 10 آدرس IP می‌باشد. به نظر می‌رسد هدف این کمپین، درج کدهای مخرب دلخواه در فایل‌های جاوا اسکریپت قانونی و هدایت بازدیدکنندگان سایت به وب‌سایت‌های مخرب است.
محصولات تحت تأثیر
سایت‌های وردپرسی که از افزونه‌ی صفحه‌ساز استفاده می‌کنند تحت تأثیر این آسیب‌پذیری قرار دارند.
توصیه‌های امنیتی
تمام مشتریان Wordfence از 21 می 2021 توسط Wordfence Firewall از این حمله محافظت می‌شوند، اما اکیداً به کاربران توصیه می‌شود در اسرع وقت افزونه‌های Kaswara Modern WPBakery Page Builder را به طور کامل حذف و جایگزین مناسبی برای آن پیدا کنند؛ زیرا بعید است که اخیرأ برای این افزونه وصله‌ی امنیتی منتشر شود.

منابع خبر:

https://thehackernews.com/2022/07/experts-notice-sudden-surge-in.html
https://www.wordfence.com/blog/2022/07/attacks-on-modern-wpbakery-page-builder-addons-vulnerability/

بدافزار جدیدی به نامAutolycos که در داخل اپلیکیشن‌های اندرویدی مخفی می‌شود پیدا شده است. اپلیکیشن‌های آلوده به این بدافزار حدود ۳ میلیون بار دانلود شده‌اند.
جزئیات آسیب‌پذیری
این بدافزار توسط یک کارشناس امنیت سایبری به نام Maxime Ingrao از موسسه Evina کشف شده است. بدافزار Autolycos تاکنون در ۸ اپلیکیشن اندرویدی در فروشگاه گوگل‌پلی پیدا شده است که این اپلیکیشن‌ها در مجموع ۳ میلیون بار توسط کاربران دانلود ‌شده‌اند. این بدافزار به جای استفاده از Android Webview، URLها را در مرورگر راه دور اجرا می‌کند که شامل نتیجه درخواست‌های HTTP می‌شود. به عقیده کارشناسان این موضوع باعث می‌شود فعالیت‌های این بدافزار مورد توجه قرار نگیرد و بنابراین توسط قربانیان، شناسایی نشود. به طور کلی، اپلیکیشن‌های مخرب پس از نصب بر روی دستگاه، مجوز خواندن پیامک کاربران را درخواست می‌کنند می‌توانند به محتوای پیامک‌های قربانی دسترسی داشته باشند.

محصولات تحت تأثیر
تاکنون ۶ اپلیکیشن‌ آلوده از فروشگاه گوگل‌پلی حذف شده‌اند، اما ۲ اپلیکیشن دیگر یعنی " Funny Camera " توسعه یافته توسط KellyTech با بیش از 500 هزار دانلود و " Razer Keyboard & Theme " توسعه یافته توسط rxcheldiolola با بیش از 50 هزار دانلود، همچنان در فروشگاه گوگل‌پلی وجود دارند. 6 اپلیکیشن آلوده که از فروشگاه گوگل‎پلی حذف شده‌اند عبارتند از:

• Vlog Star Video Editor (با یک میلیون دانلود)
• Creative 3D Launcher (با یک میلیون دانلود)
• Wow Beauty Camera (با صد هزار دانلود)
• Gif Emoji Keyboard (با صد هزار دانلود)
• Freeglow Camera 1.0.0 (با پنج هزار دانلود)
• Coco Camera v1.1 (با هزار دانلود)

توصیه‌های امنیتی
به کاربران توصیه می‌شود در صورتی که یکی از این اپلیکیشن‌های آلوده را بر روی گوشی خود نصب کرده‌اند هر چه سریع‌تر آنها را از تلفن همراه خود حذف کنند، یک آنتی ویروس مناسب بر روی گوشی خود نصب کنند، Play Protect را فعال نگه دارند و سعی کنند تعداد برنامه‌هایی که بر روی گوشی خود نصب می‌کنند را کاهش دهند.
منبع خبر:

https://gbhackers.com/android-malware-on-the-google-play-store/

یک ‫آسیب‌پذیری بحرانی با شناسه CVE-2022-32158 و شدت 10 از 10 در محصول Splunk-Enterprise-Deployment-Server نسخه پیش از 9.0 وجود دارد که بهره‌برداری از آن می‌تواند منجر به اجرای کد از راه دور در کلیه نقاط پایانی Universal-Forwarder که بخشی از Deployment-Server هستند، توسط مهاجم شود.
مفهوم Splunk-Enterprise-Deployment-Server به یک سرور Splunk-Enterprise اشاره دارد که برای تعدادی از کلاینت‌ها که Deployment-Clients نامیده می‌شوند، به عنوان مدیر پیکربندی متمرکز عمل می‌کند.
آسیب‌پذیری مذکور مربوط به ارسال داده‌های Universal در اسپلانک است و از این روش برای ارسال داده‌های ضروری میان Splunk-Enterpriseهای مختلف استفاده می‌شود. با استفاده از این آسیب‌پذیری، به کلاینت‌ها امکان ارسال بسته‌های Forwarder به سایر کلاینت‌ها از طریق Deployment-Server داده می‌شود (در نسخه‌های پیش از 8.1.10.1، 8.2.6.1 و 9.0).
در حال حاضر تنها راه وصله کردن این آسیب‌پذیری به‌روزرسانی Splunk-Enterprise-Deployment-Servers به نسخه 9.0 است.
منابع:

https://www.splunk.com/en_us/product-security/announcements/svd-2022-0608.html
https://nvd.nist.gov/vuln/detail/CVE-2022-32158
https://cve.report/CVE-2022-32158
https://www.tenable.com/cve/CVE-2022-32158
https://community.splunk.com/t5/Getting-Data-In/vulnerability-CVE-2022-32158-16-06-2022-versions-be…
https://www.cve.org/CVERecord?id=CVE-2022-32158
https://vuldb.com/?id.202139

هشت ماه پس از افشای یک ‫آسیب‌پذیری افزایش سطح دسترسی در مکانیسم IWA مربوط به سرور vCenter، سرانجام یک وصله امنیتی توسط Vmware منتشر شد. این آسیب‌پذیری توسط دو محقق به نام‌های Yaron Zinar و Sagi Sheinfeld از محققان شرکت امنیتی CrowdStrike گزارش شده بود.
جزئیات آسیب‌پذیری
به این آسیب‌پذیری شدت 7.1 و شناسه CVE-2021-22048 اختصاص داده شده است. آسیب‌پذیری مذکور بر بستر ابری ترکیبی Cloud Foundation و همچنین مکانیسم IWA که در سرور vCenter تعبیه شده است، تاثیر می‌گذارد. مهاجم با بهره‌برداری موفق از این آسیب‌پذیری بر روی سرور vCenter وصله نشده، برای اجرای کد مخربی که به دسترسی مدیریتی نیازی ندارد، می‌تواند دسترسی‌ خود را به دسترسی‌های یک گروه با امتیازات بالاتر ارتقاء دهد. این آسیب‌پذیری توسط Vmware بحرانی ارزیابی شده است و بدین معنی است که داده‌های یک کاربر به دلیل حملات مهاجمان یا اقداماتی که کاربر به صورت ناخواسته انجام می‌دهد در معرض خطر قرار می‌گیرند که منجر به خطر افتادن یکپارچگی یا محرمانگی داده‌ها می‌شود.
محصولات تحت تأثیر
محصولات VMware vCenter Server (vCenter Server) و VMware Cloud Foundation (Cloud Foundation) تحت تاثیر این آسیب‌پذیری قرار دارند.

• vCenter Server نسخه‌های 6.5 و 6.7 و 7.0
• Cloud Foundation (vCenter Server) نسخه‌های 3.x و 4.x

توصیه‌های امنیتی
از آنجایی که چندین نسخه از vCenter Server وجود دارد که تحت تاثیر این آسیب‌پذیری قرار دارند، Vmware نسخه vCenter Server 7.0 U3f را جهت رفع آسیب‌پذیری در vCenter Server 7.0 منتشر کرده است. برای سایر محصولات و نسخه‌های آسیب‌پذیر تاکنون وصله‌ای ارائه نشده است.
منبع خبر:

https://gbhackers.com/vmware-vcenter-server-flaw/

Juniper Networks به‌روزرسانی‌های امنیتی مختلفی را جهت رفع آسیب‌پذیری‌های تأثیرگذار بر چندین محصول خود منتشر کرد. مهاجم می‌تواند از این آسیب‌پذیری‌ها جهت کنترل سیستم تحت تأثیر، بهره‌برداری کند.

جزییات آسیب‌پذیری

CISA 31 آسیب‌پذیری بحرانی در Junos Space را برطرف کرده است، این مشکلات در چندین محصول third-party از جمله nginx resolver، Oracle Java SE، OpenSSH، Samba، RPM package manager، Kerberos، OpenSSL، Linux kernel، curl و MySQL Server وجود دارد.
شدیدترین نقص امنیتی مربوط به شناسه‌ی CVE-2021-23017 می‌باشد که دارای شدت 9.4 است و بر محصول NorthStar Controller تأثیر می‌گذارد، این نقص امنیتی به مهاجمی که قادر است بسته‌های UDP را جعل کند اجازه می‌دهد حافظه 1 بایتی را بازنویسی کرده و منجر به ایجاد مخاطره در برخی فرآیندها شود.
آسیب‌پذیری دیگری با شناسه CVE-2014-5044وجود دارد که مربوط به سرریز عدد صحیح در libgfortran است و به مهاجمان اجازه خواهد داد تا از راه دور کد دلخواه خود را اجرا کرده یا حمله‌ی انکار سرویس انجام دهد.
محصولات تحت تأثیر
این آسیب‌پذیری برخی از محصولات Juniper Networks از جمله Junos Space، Contrail Networking و NorthStar Controller را تحت تأثیر قرار می‌دهد.
توصیه‌های امنیتی
CISA به کاربران و مدیران توصیه می‌کند با مراجعه به صفحه مشاوره‌های امنیتی Juniper Networks، به‌روزرسانی‌های امنیتی منتشر شده برای برخی محصولات تحت تأثیر از جمله Junos Space نسخه‌های قبل از1.1R22، Contrail Networking و NorthStar Controller را در اسرع وقت اعمال کنند.

https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

منابع خبر:

https://securityaffairs.co/wordpress/133301/security/juniper-networks-critical-flaws.html
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/14/juniper-networks-releases-security-upd…

محققان امنیت سایبری نوع جدیدی از بدافزار ChromeLoader با هدف اصلی سرقت اطلاعات را کشف کردند. ویژگی‌ای که این نوع بدافزار را از سایر انواع پیشین آن متمایز می‌کند مجموعه‌ای از قابلیت‌هایی است که در یک بازه زمانی کوتاه در حال افزایش است.
ChromeLoader که عمدتاً جهت ربودن اطلاعات جستجوهای قربانیان در مرورگر و نمایش تبلیغات استفاده می‌شود، در ژانویه 2022 آشکار شد و در قالب دانلود فابل ISO یا DMG که از طریق کدهای QR در توییتر و سایت‌های رایگان بازی تبلیغ می‌شود، توزیع شده است.
این بدافزار همچنین با نام‌های Choziosi Loader و ChromeBack نیز شناخته می‌شود. چیزی که این نرم‌افزارهای تبلیغاتی را قابل توجه می‌کند این است که برخلاف فایل اجرایی ویندوز (.exe) یا dll ، به عنوان یک افزونه مرورگر طراحی شده است.
این بدافزار علاوه بر ارسال درخواست‌های تهاجمی جهت کسب مجوزهای دسترسی به داده‌های مرورگر و دستکاری درخواست‌های وب، به گونه‌ای طراحی شده است تا درخواست‌های موتور جستجوی کاربران در گوگل، Yahoo و Bing را شناسایی و ثبت کند.

براساس تجزیه و تحلیل‌های منتشر شده از Palo Alto Networks Unit، اولین حمله ناشی از بکارگیری این بدافزار در ماه دسامبر 2021 با استفاده از یک فایل اجرایی AutoHotKey-compiled رخ داده است. به گفته‌ی Nadav Barak، این بدافزار یک فایل اجرایی است که با AutoHotKey (AHK) نوشته شده و منتشرکنندگان آن در مدت زمان کوتاهی چندین نسخه کد مختلف را منتشر و از فریمورک‌های برنامه‌نویسی متعدد و ویژگی‌های پیشرفته‌ای نیز در آن استفاده کرده‌اند.

به گفته‌ی محققان امنیتی، این بدافزار هم سیستم‌عامل ویندوز و هم macOS را مورد هدف قرار می‌دهد.

منابع خبر:

https://thehackernews.com/2022/07/researchers-uncover-new-variants-of.html
https://masterjitips.com/researchers-uncover-new-variants-of-the-chromeloader-browser-hijacking-mal…

مهاجمان حوزه‌ی استخراج‌ ارز دیجیتال، با هدف قرار دادن منابع ابری، گیت‌هاب و ماشین‌های مجازیِ Azure را به صورت غیرقانونی مورد حمله قرار دادند. محققان در گزارشی اعلام کردند که مهاجمان می‌توانند با دانلود و نصب مخربانه ماینرهای ارزهای دیجیتال خود از runnerها یا سرورهای ارائه شده توسط گیت‌هاب برای اجرای pipelines و اتوماسیون سازمان سوءاستفاده کنند و از این طریق به کسب درآمد بپردازند.
گیت‌هاب یک پلتفرم یکپارچه‌سازی و تحویل پیوسته (CI/CD) است که به کاربران این امکان را می‌دهد تا ساخت، آزمایش و استقرار نرم‌افزار را خودکار کنند. توسعه‌دهندگان می‌توانند از این ویژگی برای ایجاد جریان‌های کاری استفاده کنند که هر درخواست pull به یک repository کد را ایجاد و آزمایش می‌کند، یا درخواست‌های pull ادغام شده را برای تولید، مستقر می‌کند.
هر دو رانر ویندوز و لینوکس بر روی ماشین‌های مجازی Standard_DS2_v2 در Azure میزبانی می‌شوند و دارای دو vCPU و 7 گیگابایت حافظه هستند.
محققان می‌گویند که کمتر از 1000، repository و بیش از 550 نمونه کد را شناسایی کرده‌اند که از مزیت این پلتفرم برای استخراج ارزهای دیجیتال با استفاده از رانرهای ارائه شده توسط GitHub استفاده می‎کنند. سرویس میزبانی کد متعلق به مایکروسافت از این مشکل مطلع شده است.
علاوه بر این، 11 repository کشف شد که انواع مشابهی از یک اسکریپت YAML حاوی دستوراتی برای استخراج سکه‌های Monero را در خود جای داده است که همگی بر روی یک کیف پول یکسان قرار دارند که نشان می‌دهد نتیجه کار یک فرد یا گروهی است که در یک راستا حرکت می‌کنند.
به گفته محققان، تا زمانیکه مهاجمان تنها از حساب‌های کاربری و repositoryهای خود استفاده می‌کنند، کاربران نباید دلیلی برای نگرانی داشته باشند. مشکلات زمانی ایجاد می‌شوند که این GHAها در GitHub Marketplace به اشتراک گذاشته می‌شوند و یا به عنوان یک وابستگی برای سایر Actionsها استفاده می‌شود.
گروه‌های استخراج کننده ارز، برای نفوذ به سیستم‌ها از یک نقص امنیتی در سیستم‌های هدف، مانند یک آسیب‌پذیری وصله نشده، پسوردهای ضعیف یا یک پیاده‌سازی ابری با پیکربندی نادرست، سوءاستفاده می‌کنند.
این مجموعه بدافزار همچنین از اسکریپت‌های kill برای خاتمه دادن و حذف ماینرهای ارزهای دیجیتال رقیب، برای سوء‌استفاده از سیستم‌های ابری به نفع خود استفاده می‌کنند.

محصولات تحت تأثیر
گیت‌هاب و ماشین‌های مجازی Azure تحت تاثیر این حملات قرار دارند.
به کاربران توصیه می‌شود در اسرع وقت نسبت به بروزرسانی و پیکربندی سیستم‌ها اقدام نمایند.

منبع خبر:

https://thehackernews.com/2022/07/cloud-based-cryptocurrency-miners.html

مایکروسافت دربه‌روزرسانی روز سه‌شنبه 12 جولای 2022، 84 ‫آسیب‌پذیری را در محصولات خود برطرف کرده است. از این 84 آسیب‌پذیری، 4 مورد دارای شدت بحرانی، 79 مورد مهم و یک مورد به عنوان ناشناخته طبقه‌بندی شده است.

آسیب‌پذیری‌ها شامل:

• 12 مورد Remote Code Execution
• 51 مورد Elevation of Privilege
• 5 مورد Denial of Service
• 11 مورد Information Disclosure
• 2 مورد Tampering
• 4 مورد Security Feature Bypass
• 1 مورد Unknown

طبق این نمودار، آسیب‌پذیری‌ Elevation of privilege (EoP) 59.3% و پس از آن،Remote Code Execution (RCE) 14% از آسیب‌پذیری‌های وصله‌شده در این ماه را تشکیل می‌دهند.
برخی از آسیب‌پذیری‌های مهم این ماه به شرح زیر می‌باشند:

CVE-2022-33675: آسیب‌پذیری ارتقاء سطح دسترسی در Azure Site Recovery
Azure Site Recovery، مجموعه‌ای از ابزارها با هدف ارائه‌ی خدمات بازیابی از فاجعه هنگام بروز رخداد است. این نقص به دلیل خطای مجوز دایرکتوری ایجاد می‌شود که به مهاجم اجازه می‌دهد از ربودن DLL برای ارتقاء سطح دسترسی خود به سطح SYSTEM استفاده کند. مایکروسافت همچنین چندین آسیب‌پذیری دیگر که Azure Site Recovery را تحت تأثیر قرار می‌دهد وصله کرده است.

CVE-2022-22047: ارتقاء سطح دسترسی در Windows CSRSS
یک آسیب‌پذیری EoP در زیرسیستم Windows Client Server Run-Time، که دارای شدت 7.8 از 10 بوده و به عنوان یک آسیب‌پذیری مهم طبقه‌بندی می‌شود. به گفته‌ی مایکروسافت اگرچه در زمان انتشار، جزئیات بیشتری از این آسیب‌پذیری به اشتراک گذاشته نشده، اما این نقص مورد بهره‌برداری قرار گرفته است. با این حال، این نوع آسیب‌پذیری احتمالاً به عنوان بخشی از فعالیت پس از تسخیر، زمانی که مهاجم به سیستم هدف دسترسی پیدا کند و یک برنامه‌ی ساختگی خاص را اجرا کند، مورد استفاده قرار گیرد. این نقص به طور فعال مورد سوءاستفاده قرار گرفته است و همین امر آن را در اولویت قرار می‌دهد.

CVE-2022-22022، CVE-2022-22041، CVE-2022-30206، CVE-2022-30226: آسیب‌پذیری ارتقاء سطح دسترسی در Windows Print Spooler
پس از سیل افشای آسیب‌پذیری‌ها توسط PrintNightmare در آگوست 2021، ژوئن 2022 اولین ماهی بود که مایکروسافت هیچ وصله‌ی امنیتی برای Print Spooler منتشر نکرد. در مجموع، مایکروسافت 4 آسیب‌پذیری با شدت بالا را در این سرویس وصله کرده است که همه‌ی آن‌ها براساس شاخص بهره‌برداری مایکروسافت تحت عنوان “Exploitation Less Likely” رتبه‌بندی شده‌اند. در حالی که این چهار آسیب‌پذیری تا حدودی امتیاز CVSSv3 یکسان دریافت کرده‌اند، اما در صورت سوءاستفاده، سطوح مختلفی از ارتقاء سطح دسترسی را برای مهاجمان فراهم می‌کنند. CVE-2022-22022 و CVE-2022-30226 فقط به مهاجم اجازه می‌دهند فایل‌های هدف را از روی سیستم حذف کند در حالی که CVE-2022-22041 و CVE2022-30206 می‌توانند سطح دسترسی مهاجم را به سطح دسترسی SYSTEM ارتقاء دهند.

CVE-2022-22038: آسیب‌پذیری اجراز کد از راه دور در Remote Procedure Call Runtime
این آسیب‌پذیری تمام نسخه‌های پشتیبانی‌شده‌ی ویندوز را تحت تأثیر قرار می‌دهد و دارای امتیاز 8.1 در سیستم CVSSv3 می‌باشد. در حالی که هیچ حق دسترسی نیاز نیست اما این امتیاز نشان‌دهنده‌ی پیچیدگی بالای حمله است و برای بهره‌برداری موفقیت‌آمیز از این نقص، اقدامات بیشتری توسط مهاجم نیاز است.

CVE-2022-22028، CVE-2022-20229، CVE-2022-22039: آسیب‌پذیری‌هایWindows Network File System
CVE-2022-22028 یک آسیب‌پذیری افشای اطلاعات است، در حالی که CVE-2022-22029 و CVE-2022-22039 آسیب‌پذیری‌های اجرای کد از اره دور در Windows Network File System (NFS) هستند. به هر سه نقص “Exploitation Less Likely” اختصاص داده شده است، زیرا این نقص‌ها دارای پیچیدگی حمله‌ی بالا هستند.

محصولات تحت تأثیر

• AMD CPU Branch
• Azure Site Recovery
• Azure Storage Library
• Microsoft Defender for Endpoint
• Microsoft Edge (Chromium-based)
• Microsoft Graphics Component
• Microsoft Office
• Open Source Software
• Role: DNS Server
• Role: Windows Fax Service
• Role: Windows Hyper-V
• Skype for Business and Microsoft Lync
• Windows Active Directory
• Windows Advanced Local Procedure Call
• Windows BitLocker
• Windows Boot Manager
• Windows Client/Server Runtime Subsystem
• Windows Connected Devices Platform Service
• Windows Credential Guard
• Windows Fast FAT Driver
• Windows Fax and Scan Service
• Windows Group Policy
• Windows IIS
• Windows Kernel
• Windows Media
• Windows Network File System
• Windows Performance Counters
• Windows Point-to-Point Tunneling Protocol
• Windows Portable Device Enumerator Service
• Windows Print Spooler Components
• Windows Remote Procedure Call Runtime
• Windows Security Account Manager
• Windows Server Service
• Windows Shell
• Windows Storage
• XBox

نحوه‌ی وصله یا به‌روزرسانی محصولات آسیب‌پذیر در لینک زیر آورده شده است:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Jul

منبع خبر:

https://www.tenable.com/blog/microsofts-july-2022-patch-tuesday-addresses-84-cves-cve-2022-22047