Fortinet مجموعه‌ای از آسیب‌پذیری‌های امنیتی که چندین محصول این شرکت را تحت تأثیر قرار می‌دهند برطرف نموده است، مجموعه‌ای از نقص‌های با شدت بالا، مانند باگ‌های path traversal در رابط مدیریت FortiDeceptor که ماشین‌های مجازی را به عنوان هانی‌پات برای نفوذگران شبکه مدیریت می‌کند. این غول امنیت سایبری مستقر در کالیفرنیا که بیش از یک سوم کل فایروال‌ها و سیستم‌های مدیریت تهدید یکپارچه را در سراسر جهان به خود اختصاص می‌دهد، تعداد زیادی به‌روزرسانی میان‌افزاری و نرم‌افزاری در روز سه‌شنبه 5 جولای منتشر کرده است.
• CVE-2022-26117: آسیب‌پذیری با شدت بالا (8.0 از 10) در حساب کاربری root پایگاه داده MySQL که محافظت نشده است و در محصول FortiNAC (کنترل دسترسی شبکه) وجود دارد. یک رمز عبور خالی _استفاده از رشته خالی برای رمز عبور_در فایل پیکربندی FortiNAC به مهاجم احرازهویت‌شده اجازه می‌دهد از طریق CLI به پایگاه داده‌های MySQL دسترسی پیدا کند.
• CVE-2022-30302: آسیب‌پذیری‌های path traversal با شدت بالا (7.9 از10) در رابط مدیریت محصول FortiDeceptor که ممکن است به مهاجم احرازهویت‌شده از راه دور اجازه دهد از طریق درخواست‌های وبِ ساختگی، فایل‌های دلخواه را از سیستم‌فایل اصلی بازیابی و حذف کند.
• CVE-2021-41031: آسیب‌پذیری ارتقاء سطح دسترسی با شدت بالا (7.8 از 10) از طریق حمله‌ی directory traversal در محصول FortiClient برای ویندوز، که ممکن است به یک مهاجم غیرمجاز محلی اجازه دهد تا سطح دسترسی خود را از طریق named pipe سرویس FortiESNAC به سطح دسترسی SYSTEM ارتقاء دهد.
• CVE-2021-43072: آسیب‌پذیری سرریز بافر مبتنی بر پشته با شدت بالا (7.4 از 10) از طریق اجرای دستورات ساختگی در CLI محصولات FortiAnalyzer، FortiManager، FortiOS و FortiProxy، که در واقع نقص کپی بافر بدون بررسی اندازه ورودی است _آسیب‌پذیری Classic Buffer Overflow_ که به یک مهاجم دارای حق دسترسی اجازه می‌دهد کد یا دستورات دلخواه خود را از طریق عملیات `execute restore image` و `execute certificate remote` در CLI ساختگی با پروتکل TFTP اجرا نماید.

این آسیب‌پذیری‌ها محصولات Fortinet را به شرح زیر تحت تأثیر قرار می‌دهند:

• CVE-2022-26117:

• CVE-2022-30302:

• CVE-2021-41031:

• CVE-2021-43072:

به کاربران توصیه می‌شود نسخه‌های آسیب‌پذیر محصولات Fortinet خود را به نسخه‌های به‌روزرسانی‌شده که در جداول فوق آورده شده‌اند ارتقاء دهند.
منابع:

[1] https://securityaffairs.co/wordpress/133059/security/fortinet-multiple-issues-several-products.html
[2] https://www.fortiguard.com/psirt/FG-IR-21-190
[3] https://www.fortiguard.com/psirt/FG-IR-21-206
[4] https://www.fortiguard.com/psirt/FG-IR-21-213
[5] https://www.fortiguard.com/psirt/FG-IR-22-058

محققان سایبری در خصوص موج مداوم حملات گروهی به نام Raspberry Robin که یک بدافزار ویندوز با قابلیت‌های کرم را منتشر می‌کنند، هشدار می‌دهند. در این حملات یک کرم از طریق دستگاه‌های USB با قابلیت جابجایی که حاوی یک فایل مخرب . LNK است منتشر می‌شود و از دستگاه‌های ذخیره‌سازی متصل به شبکه QNAP که آسیب‌دیده هستند جهت انجام فرآیندهای مربوط به کنترل و فرمان در دستگاه استفاده می‌کند.
این بدافزار که به نام کرم QNAP هم شناخته می‌شود، از یک باینری مجاز نصب‌کننده ویندوز به نام "msiexec.exe" جهت دانلود و اجرای یک کتابخانه مشترک (DLL) مخرب از یک دستگاه QNAP NAS آسیب‌دیده استفاده می‌کند.
پایداری این کرم در دستگاه آسیب‌پذیر، با تغییرات Windows Registry جهت بارگیری پی‌لود مخرب بدست می‌آید که این امر از طریق باینری ویندوز "rundll32.exe" در فاز راه‌اندازی صورت می‌پذیرد.
 

QNAP اعلام کرد که به طور ویژه در حال بررسی موج جدیدی از آلودگی‌های باج‌افزار Checkmate است که دستگاه‌هایش را مورد هدف قرار می‌دهد، به طوری که پس از باج‌افزارهای AgeLocker، eCh0raix و DeadBolt، آن را به جدیدترین نوع از باج‌افزارها تبدیل کرده است. تحقیقات اولیه نشان می‌دهد که باج‌افزار Checkmate از طریق سرویس‌های SMB که در معرض اینترنت قرار دارند، حمله خود را شروع کرده و از dictionary attack جهت پیداکردن رمزعبور سیستم استفاده می‌کنند. هنگامی که مهاجم با موفقیت به دستگاهی وارد می‌شود، داده‌ها را در پوشه‌های مشترک رمزگذاری کرده و یادداشتی که نام فایل آن "!CHECKMATE_DECRYPTION_README" می‌باشد را در هر پوشه قرار می‌دهد.
شرکت تایوانی QNAP به مشتریان توصیه می‌کند که خدمات SMB را در معرض اینترنت قرار ندهند، از رمزهای عبور قوی استفاده کنند، به طور منظم نسخه پشتیبان تهیه کنند و سیستم عامل QNAP را به آخرین نسخه‌ی منتشر شده، به‌روزرسانی کنند.

منبع:

https://thehackernews.com/2022/07/researchers-warn-of-raspberry-robins.html

چندین ‫آسیب‌پذیری در API و رابط مدیریت تحت‌وب نرم‌افزارهای Cisco Expressway Series و Cisco TelePresence Video Communication Server (VCS) سیسکو وجود دارد که برای مهاجم از راه دور امکان بازنویسی فایل‌های دلخواه یا حملات null byte poisoning را بر روی دستگاه آسیب‌پذیر (چنانچه دارای پیکربندی پیش‌فرض باشد) فراهم می‌کند.
• CVE-2022-20812: آسیب‌پذیری بازنویسی فایل دلخواه در نرم‌افزارهای Cisco Expressway و Cisco TelePresence VCS با شدت بحرانی (9.0 از 10)، که به مهاجم احرازهویت‌شده از راه دور با دسترسی خواندن/ نوشتن مدیر (Administrator) در برنامه‌ی کاربردی، اجازه می‌دهد حملات path traversal را بر روی دستگاه آسیب‌پذیر انجام دهد و فایل‌ها را در سیستم‌عامل بستر به عنوان کاربر root بازنویسی نماید. این نقص به دلیل اعتبارسنجی ناکافی آرگومان‌های دستوری کاربر ایجاد می‌شود و مهاجم می‌تواند با احرازهویت در سیستم به عنوان کاربر دارای حق دسترسی خواندن/نوشتن مدیر و با ارسال یک ورودی دستکاری‌شده به دستور آسیب‌پذیر، از این نقص سوءاستفاده نماید. بهره‌برداری موفق از این آسیب‌پذیری برای مهاجم امکان بازنویسی فایل‌های دلخواه را در سیستم‌عامل بستر به عنوان کاربر root فراهم می‌کند.
• CVE-2022-20813: آسیب‌پذیری Null Byte Poisoning در اعتبارسنجی گواهی‌نامه‌ی‌ نرم‌افزارهای Cisco Expressway و Cisco TelePresence VCS با شدت بالا (7.4 از 10)، که امکان دسترسی غیرمجاز به داده‌های حساس را برای مهاجم احرازهویت‌نشده از راه دور فراهم می‌کند. این نقص به دلیل اعتبارسنجی نامناسب گواهی‌‌نامه ایجاد می‌شود و یک مهاجم با استفاده از تکنیک man-in-the-middle به منظور دریافت ترافیک بین دستگاه‌ها و سپس استفاده از گواهی ساختگی برای جعل هویت نقطه مقصد می‌تواند از این نقص سوءاستفاده نماید. بهره‌برداری موفق از این آسیب‌پذیری به مهاجم اجازه می‌دهد ترافیک دریافت‌شده در تکنیک man-in-the-middle را به صورت متن واضح مشاهده کند و یا محتوای ترافیک را تغییر دهد.

این آسیب‌پذیری‌ها محصولات زیر را تحت تأثیر قرار می‌دهند:

• نرم‌افزارCisco Expressway Series نسخه 14.0 و نسخه‌های قبل از آن.
• نرم‌افزارCisco TelePresence VCS نسخه 14.0 و نسخه‌های قبل از آن.

سیسکو به منظور رفع آسیب‌پذیری‌های مذکور به‌روزرسانی‌های نرم‌افزاری منتشر نموده و هیچ اقدام کاهشی برای رفع موقت این آسیب‌پذیری‌ها وجود ندارد، لذا به کاربران توصیه می‌شود هر چه سریع‌تر مطابق جدول زیر محصولات آسیب‌پذیر خود را به نسخه‌های به‌روزرسانی‌شده ارتقاء دهند.
 

منبع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-overwrite…

یک باج‌افزار جدید به نام RedAlert یا N13V، با حمله به شبکه‌های سازمانی، سرورهای ویندوز و VMWare ESXi لینوکس را رمزگذاری می‌کند. این حمله جدید توسط تیم MalwareHunterTeam کشف و افشا شد. Linux encryptor جهت مورد هدف قرار دادن سرورهای VMware ESXi تعبیه شده‌اند و آپشن‌های command-line نیز به مهاجم اجازه خواهند داد تا پیش از رمزگذاری فایل‌ها، ماشین‌های مجازی در حال اجرا را خاموش کنند. لیست کامل آپشن‌های command-line به صورت زیر می‌باشد:
 

هنگام اجرای باج‌افزار توسط آرگمان '-w'، Linux encryptor تمام ماشین‌های مجازی VMware ESXi در حال اجرا را با استفاده از دستور esxcli زیر خاموش می کند:
 

هنگام رمزگذاری فایل‌ها، باج‌افزار از الگوریتم رمزگذاری کلید عمومی NTRUEncrypt که از «Parameter Set»های مختلفی پشتیبانی می‌کند استفاده می‌کند. یکی از ویژگی‌های جالب RedAlert/NV13 آپشن خط فرمان «-x» است که «تست عملکرد رمزنگاری نامتقارن » را با استفاده از این مجموعه‌های مختلف پارامتر NTRUencrypt انجام می‌دهد. گفتنی است که تنها عملیات باج افزار دیگری که برای استفاده از این الگوریتم رمزگذاری شناخته شده است، FiveHands است.
 

هنگام رمزگذاری فایل‌ها، باج‌افزار فقط فایل‌های مرتبط با ماشین‌های مجازی VMware ESXi، از جمله فایل‌های لاگ، فایل‌های swap، دیسک‌های مجازی و فایل‌های حافظه را که در زیر فهرست شده است، مورد هدف قرار می‌دهد:

در نمونه‌ای که توسط BleepingComputer آنالیز شده است، باج‌افزار این نوع فایل‌ها را رمزگذاری کرده و ضمیمه می‌کند.
 

در هر پوشه، باج‌افزار یک note به نام HOW_TO_RESTORE ایجاد می‌کند که حاوی توضیحاتی درباره داده‌های به سرقت رفته و لینک مرتبط با یک سایت پرداخت باج TOR است.
 

تقریبا مانند عملکرد تمام باج‌افزارهای جدیدی که سازمان‌ها مورد هدف قرار می‌دهند، RedAlert نیز حملات اخاذی مضاعف انجام می‌دهد یعنی پس از به سرقت بردن داده‌ها، باج‌افزار برای رمزگذاری دستگاه‌ها مستقر می‌شود.
در این حمله، اخاذی به دو صورت انجام می‌گیرد یعنی مهاجمان علاوه بر درخواست باج برای رمزگشایی، برای جلوگیری از نشت اطلاعات سرقت شده هم تقاضای باج می‌کنند. در صورتیکه قربانی باجی پرداخت نکند، گروه RedAlert داده‌های سرقت شده را در سایت خود منتشر کرده و در معرض عموم قرار می‌دهند.
در حالی که فعالیت زیادی با باج افزار جدید N13V/RedAlert صورت نگرفته است، اما به دلیل اهمیت آن، قطعاً باید مراقب باشیم.
منبع:

https://www.bleepingcomputer.com/news/security/new-redalert-ransomware-targets-windows-linux-vmware…

هفته اول مردادماه کنفرانس ظرفیت شبکه ملی اطلاعات با محوریت امنیت، تاب آوری و پایداری، در پژوهشگاه ارتباطات و فناوری اطلاعات برگزار خواهد شد. برای اطلاعات بیشتر به https://www.itrc.ac.ir/news/58131 مراجعه نمایید.

شرکت گوگل یک بروزرسانی امنیتی را جهت رفع یک ‫آسیب‌پذیری روز صفر با شدت بالا در مرورگر کروم منتشر کرده است.
جزئیات آسیب‌پذیری
آسیب‌پذیری وصله شده با شناسه "CVE-2022-2294" به نقص سرریز پشته در مؤلفه WebRTC مربوط می‌شود که بدون نیاز به نصب افزونه‌ها یا دانلود اپلیکیشن‌های محلی، قابلیت‌های ارتباط صوتی و تصویری همزمان را در مرورگرها فراهم می‌کند.
سرریزهای بافر پشته که به آن سرریز پشته یا شکسته شدن پشته نیز گفته می‌شود، زمانی رخ می‌دهد که داده‌ها در ناحیه پشته حافظه بازنویسی می‌شوند، بهره‌برداری موفق از سرریز پشته در این آسیب‌پذیری منجر به اجرای کد دلخواه یا حمله انکار سرویس می‌شود.
محصولات تحت تأثیر
مرورگر گوگل کروم در هر دو پلتفرم ویندوز و اندروید تحت تاثیر این آسیب‌پذیری قرار دارند.
توصیه‌های امنیتی
گوگل نسخه 103.0.5060.114 کروم را جهت رفع آسیب‌پذیری مذکور، منتشر کرده است، به کاربران توصیه می‌شود مرورگر خود را در اسرع وقت به‌روزرسانی کنند. برای این کار مسیر Chrome menu > Help > About Google Chrome را دنبال کنید.

منابع خبر:

https://www.bleepingcomputer.com/news/security/google-patches-new-chrome-zero-day-flaw-exploited-in…
https://thehackernews.com/2022/07/update-google-chrome-browser-to-patch.html

Django یک وب‌فریمورک متن‌باز مبتنی بر پایتون است که در آخرین نسخه‌ی خود یک آسیب‌پذیری با شدت بالا را برطرف نموده است. تعداد وب‌سایت‌هایی که از این فریمورک استفاده می‌کنند و جنگو را به عنوان فریمورک Model-Template-View خود برمی‌گزینند بیش از ده‌ها هزار مورد تخمین زده می‌شود. به همین دلیل ارتقاء یا وصله‌ی وب‌سایت‌هایی که از این فریمورک استفاده می‌کنند در مقابل آسیب‌پذیری‌هایی مشابه این آسیب‌پذیری بسیار حائز اهمیت است.
جزئیات آسیب‌پذیری
این آسیب‌پذیری یک نقص SQL Injection با شناسه‌ی CVE-2022-34265 و شدت بالا است که در نسخه‌ی main فریمورک Django و نسخه‌های 1.‏4 (در حال حاضر در نسخه‌ی بتا)، 0.‏4 و 2.‏3 وجود دارد و به مهاجم اجازه می‌دهد وب‌اپلیکیشن‌های Django را از طریق آرگومان‌های ارسالی به توابع Trunc(kind) و Extract(lookup_name) مورد حمله قرار دهد. بدین صورت که اگر از داده‌های غیرقابل اعتماد به عنوان مقدار kind/lookup_name value استفاده شود، توابع پایگاه داده ()Trunc و () Extract مشمول حمله‌ی تزریق SQL می‌شوند.
محصولات تحت تأثیر
نسخه‌های زیر از فریمورک Django تحت تأثیر این آسیب‌پذیری قرار دارند:

• Django main branch
• Django 4.1 (currently at beta status)
• Django 4.0
• Django 3.2

اپلیکیشن‌‎هایی که جستجوی نام و انتخاب نوع در آن‌ها به یک لیست امنِ شناخته‌شده محدود شده باشد تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند. به عبارت دیگر، اگر برنامه‌ی شما قبل از ارسال آرگومان‌ها به توابع Trunc و Extract ورودی‌ها را بررسی و پاکسازی نماید، تحت تأثیر این نقص قرار نمی‌گیرد.

توصیه‌های امنیتی
تیم Django نسخه‌های 4.0.6 و 3.2.14 را برای رفع آسیب‌پذیری مذکور منتشر نموده است. به توسعه‌دهندگان توصیه می‌شود در اسرع وقت Django را ارتقاء داده یا وصله نمایند.
چنانچه در حال حاضر امکان ارتقاء به نسخه‌های به‌روزشده‌ی فوق وجود ندارد، اعمال وصله‌های زیر جهت رفع آسیب‌پذیری توصیه می‌گردد:
• برای main branch
(http://github.com/django/django/commit/54eb8a374d5d98594b264e8ec22337819b37443c)
• برای نسخه‌ی 4.1
(http://github.com/django/django/commit/284b188a4194e8fa5d72a73b09a869d7dd9f0dc5)

• برای نسخه‌ی 4.0
(http://github.com/django/django/commit/0dc9c016fadb71a067e5a42be30164e3f96c0492)
• برای نسخه‌ی 3.2
(http://github.com/django/django/commit/a9010fe5555e6086a9d9ae50069579400ef0685e)

منابع خبر:

https://www.djangoproject.com/weblog/2022/jul/04/security-releases/
https://www.bleepingcomputer.com/news/security/django-fixes-sql-injection-vulnerability-in-new-rele…

بنا بر گزارش منتشر شده در وب‌سایت رسمی OpenSSL، ‫آسیب‌پذیری امنیتی با شناسه CVE-2022-1292 در اسکریپت c_rehash مورد استفاده در OpenSSL کشف شده است. شدت این آسیب‌پذیری ۹.۸ و درجه خطر آن  Critical (بحرانی) است.
در این اسکریپت، متاکاراکترهای شل به‌درستی پاک‌سازی نمی‌گردد. متاکاراکترها، کاراکترهایی هستند که برای اهداف مختلف در شل استفاده می‌گردند. بنابراین می‌توان حمله تزریق دستور (Command injection) انجام داد. تزریق دستور به حمله‌ای گفته می‌شود که هدف آن اجرای دستورات دلخواه بر روی سیستم‌عامل میزبان از طریق یک برنامه آسیب‌پذیر است. این حملات زمانی امکان‌پذیر است که یک برنامه، داده‌های ناامن ارائه‌شده توسط کاربر را به شل سیستم ارسال کند. این اسکریپت در بعضی از سیستم‌عامل‌ها به‌گونه‌ای است که می‌تواند به‌صورت خودکار اجرا شود. در چنین سیستم‌عامل‌هایی مهاجم می‌تواند دستورات دلخواه خود را با داشتن دسترسی اجرا نماید.
این آسیب‌پذیری نسخه‌های ۱.۰.۲ ، ۱.۱.۱ و ۳.۰ را تحت تأثیر خود قرار می‌دهد. استفاده از اسکریپت c_rehash منسوخ تلقی می‌شود و باید با ابزار خط فرمان OpenSSL rehash جایگزین شود.
کاربران باید OpenSSL خود را به نسخه‌های ۱.۰.۲ze ، ۱.۱.۱o و ۳.۰.۳ به‌روزرسانی کنند.

منابع:

https://www.openssl.org/news/secadv/20220503.txt
https://www.debian.org/security/2022/dsa-5139

تیم امنیتی جنکینز ده‌ها نقص امنیتی را افشا کردند که چندین افزونه مربوط به سرور اتوماسیون جنکینز را تحت تاثیر قرار می‌دهد، این در حالی است که برای بیشتر این آسیب‌پذیری‌ها تاکنون وصله‌ای ارائه نشده است. جهت مطالعه بیشتر در خصوص این آسیب‌پذیری‌ها اینجا کلیک نمایید.

در نسخه‌ 2.4.53 وب سرور Apache و نسخه‌های ما قبل آن، یک آسیب‌پذیری بحرانی (9.8 از 10) با شناسه CVE-2022-31813 وجود دارد. مطابق با این آسیب‌پذیری، اگر هِدر Connection سمت کلاینت از نوع hop-by-hop باشد، وب سرور Apache ممکن است که هدرهای X-Forwarded-* را به سرور اصلی ارسال ننماید. این امر می‌تواند برای دور زدن "احراز هویت مبتنی برIP" در سرور اصلی مورد استفاده قرار گیرد.

برای رفع آسیب‌پذیری، نسخه‌های آسیب‌پذیری را به نسخه 2.4.54-1 یا بالاتر ارتقا دهید.

منبع: https://nvd.nist.gov/vuln/detail/CVE-2022-31813