کشف چند آسیب‌پذیری در مرورگر FireFox

تاریخ ایجاد

اخیرا چندین آسیب‌پذیری امنیتی بحرانی در مرورگر محبوب Mozilla Firefox کشف شده است. این آسیب‌پذیری‌ها می‌توانند به مهاجمان اجازه دهند که کد مخرب را بر روی سیستم‌های کاربران اجرا کنند و به اطلاعات حساس کاربر دسترسی پیدا کنند. جزئیات و شناسه‌های آسیب‌پذیری‌های مذکور به شرح ذیل می‌باشد:

CVE-2024-5687:
این آسیب‌پذیری که با شدت بالا ارزیابی شده‌است، به یک نقص امنیتی در مرورگر Firefox مربوط می‌باشد. اگر کاربر یک توالی خاص از اعمال را هنگام باز کردن یک تب جدید انجام دهد، ممکن است triggering principal مرتبط با تب جدید نادرست باشد. این امکان، جهت محاسبه مقادیری مانند هدرهای Referer و Sec-* استفاده می‌شود. نقص امنیتی مذکور می‌تواند از راه دور منجر به انجام بررسی‌های امنیتی نادرست در مرورگر و ارسال اطلاعات نادرست یا گمراه‌کننده به وب‌سایت‌ها شود و امنیت کاربران را به خطر بیندازد.

CVE-2024-5688:
این آسیب‌پذیری نیز با شدت بالا ارزیابی شده‌است. اگر جمع‌آوری زباله (garbage collection) در زمان مناسبی رخ دهد، ممکن است یک نقص امنیتی "استفاده پس از آزادسازی" (use-after-free) هنگام انتقال شیء (object transplant) رخ دهد. این نقص می‌تواند باعث شود که مرورگر از بخش‌هایی از حافظه استفاده کند که قبلاً آزاد شده‌اند و منجر به اجرای کد مخرب، خرابی برنامه یا افشای اطلاعات حساس شود و به مهاجمان اجازه بهره‌برداری از سیستم کاربر را بدهد.
 
CVE-2024-5689:
این آسیب‌پذیری با شدت متوسط در مرورگر Firefox هنگام گرفتن اسکرین‌شات توسط کاربر از یک وب‌سایت رخ می‌دهد که دکمه 'My Shots' را ظاهر شده و کاربر را به صفحه جعلی ابزار Firefox Screenshots هدایت خواهد کرد. این صفحه‌ی جعلی می‌تواند برای فیشینگ استفاده شود و کاربران را فریب دهد تا اطلاعات حساس خود را فاش کنند. این نوع حمله می‌تواند کاربران را به سایت‌های مخرب هدایت کند و امنیت آن‌ها را به خطر بیندازد.

CVE-2024-5690:
این آسیب‌پذیری با شدت متوسط در مرورگر Firefox می‌تواند به مهاجمان اجازه دهد با نظارت بر زمان انجام برخی عملیات‌ها، تشخیص دهند کدام پروتکل‌های خارجی روی سیستم کاربر فعال هستند. به عبارت دیگر، با اندازه‌گیری زمان لازم جهت انجام عملیات‌های خاص، مهاجم می‌تواند حدس بزند که کدام پروتکل‌ها (مانند mailto، tel، یا دیگر پروتکل‌های خاص) توسط برنامه‌های مختلف سیستم کاربر پشتیبانی می‌شوند. این اطلاعات می‌تواند جهت برنامه‌ریزی حملات هدفمندتر علیه سیستم کاربر مورد استفاده قرار گیرد.

CVE-2024-5691:
این آسیب‌پذیری با شدت متوسط در مرورگر Firefox می‌تواند به مهاجمان اجازه دهد با فریب دادن مرورگر از طریق هدر X-Frame-Options، یک iframe محدود را ایجاد کنند. این iframe می‌تواند یک دکمه نمایش دهد که اگر توسط کاربر کلیک شود، محدودیت‌ها را دور زده و یک پنجره جدید باز کند. "iframe" (که مخفف "inline frame" است) یک عنصر HTML است که این امکان را فراهم خواهد آورد تا یک صفحه وب دیگر درون صفحه وب اولیه جاسازی شود. به عبارت دیگر، iframe یک قاب یا کادر در صفحه وب ایجاد می‌کند که می‌تواند محتوای یک صفحه وب دیگر را نمایش دهد. از iframe معمولاً جهت نمایش محتوای خارجی مانند ویدیوها، نقشه‌ها یا فرم‌ها بدون ترک کردن صفحه اصلی استفاده می‌شود.  مهاجم می‌تواند از این نقص امنیتی جهت دور زدن سیاست‌های امنیتی iframe بهره‌برداری کرده و با کلیک کاربر، اقداماتی را انجام دهد که اصولاً باید محدود شده باشند و این امر می‌تواند به اجرای کد مخرب یا هدایت کاربر به سایت‌های مخرب منجر شود.
CVE-2024-5692:
این آسیب‌پذیری متوسط در مرورگر Firefox مربوط به سیستم‌عامل ویندوز می‌باشد و به مهاجم اجازه می‌دهد که با استفاده از عملکرد 'Save As' مرورگر، فایل را با یک پسوند غیرمجاز مانند ".url" با اضافه کردن یک کاراکتر نامعتبر در انتهای پسوند فایل ذخیره کند. به عبارت دیگر، مهاجم می‌تواند کاربران را فریب دهد تا فایل‌هایی را با پسوندهای ناامن و غیرمجاز ذخیره کنند و منجر به اجرای کد مخرب یا آسیب‌های دیگر شود. این نقص امنیتی فقط بر روی سیستم‌عامل ویندوز تأثیر می‌گذارد و سایر سیستم‌عامل‌ها تحت تأثیر نیستند.
CVE-2024-5693:
این آسیب‌پذیری نیز با شدت متوسط در مرورگر Firefox مربوط به "Offscreen Canvas" می‌باشد. Offscreen Canvas یک ویژگی در HTML5 است که برای انجام عملیات گرافیکی پیچیده و پردازش سنگین تصویری بدون مسدود کردن یا کند کردن رابط کاربری اصلی صفحه وب استفاده می‌شود.
Offscreen Canvas به درستی از آلودگی cross-origin tainting پیروی نمی‌کند که همین عدم پیروی، به مهاجم اجازه می‌دهد به داده‌های تصویری از یک سایت دیگر دسترسی پیدا کند. به عبارت دیگر، مهاجم می‌تواند از این آسیب‌پذیری جهت دسترسی به تصاویر یا داده‌های تصویری از یک سایت دیگر که نباید به آن دسترسی داشته باشد، استفاده کند و از این طریق منجر به افشای اطلاعات حساس شود.
CVE-2024-5694:
این آسیب‌پذیری با شدت متوسط در موتور جاوااسکریپت مرورگر Firefox اجازه می‌دهد که مهاجم با ایجاد شرایط use-after-free، به حافظه در بخش رشته‌های جاوااسکریپت (JavaScript string section) در هیپ (heap) دسترسی پیدا کند. به عبارت دیگر، مهاجم می‌تواند با بهره‌برداری از این نقص امنیتی، به داده‌های حافظه‌ای که قبلاً آزاد شده‌اند، دسترسی پیدا کند و اطلاعات حساس را بخواند یا کد مخرب را اجرا کرده و امنیت سیستم کاربر را به خطر بیندازد.

CVE-2024-5695:
این آسیب‌پذیری با شدت متوسط در مرورگر Firefox می‌تواند در شرایط خاصی منجر به خرابی حافظه شود. اگر در حین تخصیص حافظه در probabilistic heap checker، حافظه به پایان برسد، ممکن است خطای جدی رخ دهد که می‌تواند به آسیب‌دیدگی یا خرابی کامل حافظه منجر شود. 

CVE-2024-5696:
این آسیب‌پذیری با شدت متوسط در مرورگر Firefox به مهاجم اجازه می‌دهد با دستکاری متن در یک تگ <input> حافظه را خراب کند و این خرابی می‌تواند به اجرای کد مخرب یا دسترسی غیرمجاز به سیستم منجر شود.

CVE-2024-5697، CVE-2024-5698 و CVE-2024-5699:
این سه آسیب‌پذیری که با شدت پایین ارزیابی شده‌اند، می‌توانند مشکلات امنیتی مختلفی در مرورگر Firefox ایجاد کنند. در ادامه، به توضیح هر یک از این آسیب‌پذیری‌ها می‌پردازیم:

CVE-2024-5697: 
یک وب‌سایت می‌تواند تشخیص دهد که کاربر از صفحه وب با استفاده از قابلیت داخلی اسکرین‌شات Firefox اسکرین‌شات گرفته است که این امر می‌تواند به نقص حریم خصوصی کاربران منجر شود.

 CVE-2024-5698: 
با دستکاری ویژگی full screen هنگام باز کردن یک data-list، مهاجم می‌تواند یک فضای متن(text box) را روی نوار آدرس قرار دهد. اگر کاربران به اشتباه فکر ‌کنند در یک سایت معتبر هستند، این امر ممکن است به سردرگمی کاربر و حملات spoofing منجر شود. 

 CVE-2024-5699: 
پیشوندهای کوکی مانند __Secure اگر به درستی با حروف بزرگ نوشته نشده باشند، نادیده گرفته می‌شدند. این پیشوندها باید به صورت بدون حساسیت به حروف بزرگ و کوچک (case-insensitive) بررسی شوند که می‌تواند منجر به عدم رعایت صحیح رفتارهای مشخص شده توسط پیشوندها در مرورگر شود. یعنی مرورگر نمی‌تواند به درستی رفتارهای امنیتی مرتبط با این پیشوندها را رعایت کند. برای مثال، پیشوند __Secure برای اطمینان از ارسال کوکی‌ها فقط از طریق HTTPS استفاده می‌شود. اگر این پیشوند نادیده گرفته شود، ممکن است کوکی‌های حساس از طریق اتصالات ناامن ارسال شوند، که امنیت داده‌های کاربر را به خطر می‌اندازد.

 CVE-2024-5700، CVE-2024-5701 و CVE-2024-5702

این آسیب‌پذیری‌ها که با شدت بالا ارزیابی شده اند، ناشی از مشکلات ایمنی حافظه می‌باشند. برخی از این نقص‌های امنیتی منجر به خرابی حافظه می‌شوند. با تلاش کافی، مهاجمان می‌توانند از این نقص‌ها جهت اجرای کدهای دلخواه بهره‌برداری کنند. همچنین می‌توانند منجر به اجرای غیرمنتظره کد یا خرابی برنامه شده یا باعث شوند مهاجمان کنترل سیستم را به دست بگیرند.


محصولات تحت تأثیر

  •  CVE-2024-5687:

این نقص امنیتی، نسخه‌های قبل از 127  مرورگر فایرفاکس سیستم‌عامل اندروید را تحت تاثیر قرار می دهد.

  •  CVE-2024-5689 ، CVE-2024-5694 ، CVE-2024-5695 ،CVE-2024-5697 ، CVE-2024-5698 ، CVE-2024-5699 و CVE-2024-5701:

این آسیب‌پذیری‌ها نسخه‌های Firefox قبل از 127 را تحت تاثیر قرار می‌دهند.

  •     CVE-2024-5688 ، CVE-2024-5690 ، CVE-2024-5691 ، CVE-2024-5692 ،CVE-2024-5693 ، CVE-2024-5696 ، CVE-2024-5700 و CVE-2024-5702:

این آسیب‌پذیری‌ها نسخه‌های Firefox قبل از 127 ، Firefox ESR، قبل از 115.12 و Thunderbird ماقبل 115.12 را تحت تاثیر قرار می‌دهند.


 توصیه‌های امنیتی
اقدام سریع نسبت به اعمال به‌روزرسانی مرورگر و نرم‌افزار‌های مربوطه جهت جلوگیری از آسیب‌های ناشی از این نقص‌های امنیتی به کاربران توصیه می‌گردد.  

منابع خبر:


[1]https://www.mozilla.org/en-US/security/advisories/mfsa2024-25/&nbsp;
[2]https://nvd.nist.gov/vuln/detail/CVE-2024-5702&nbsp;

کشف آسیب‌پذیری در افزونه Popup Builder

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-2544 و شدت 7.4 (بالا) در افزونه Popup Builder کشف شده است که در برابر تغییرات غیر مجاز و از دست رفتن داده‌ها به دلیل عدم قابلیت بررسی تمام اقدامات AJAX آسیب‌پذیر است و این امکان را برای مهاجم احراز هویت نشده فراهم می‌کند که با دسترسی مشترک و بالاتر، چندین عمل غیرمجاز مانند حذف اعضا و وارد کردن آنها برای انجام حملات اسکریپت بین سایتی ذخیره‌شده را انجام می‌دهد. بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین می‌باشد (PR:L) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C) و یک ضلع از سه ضلع امنیت به میزان کمی تحت تأثیر قرار می‌گیرند(C:L/I:L/A:L).

محصولات تحت تأثیر
این آسیب‌پذیری نسخه‌های قبل از 4.3.0 را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود که در اسرع وقت نسخه آسیب‌دیده را به نسخه 4.3.2 و بالاتر ارتقاء دهند.


منابع خبر:


[1]https://nvd.nist.gov/vuln/detail/CVE-2024-2544
[2]https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2024-2544
[3]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/popup-builder/popup-builde…

کشف آسیب‌پذیری اجرای کد zero-click در Microsoft Outlook

تاریخ ایجاد

یک آسیب‌پذیری در نرم‌افزار Microsoft Outlook کشف شده است که کاربران را در معرض حمله اجرای کد از راه دور (RCE) قرار می‌دهد. شناسه CVE-2024-30103 با شدت بالا و امتیاز 8.8 در سیستم CVSS 3.x به این آسیب‌پذیری اختصاص یافته است.
بهره‌برداری از این آسیب‌پذیری نیازمند دسترسی مهاجم به یک حساب کاربری معتبر MS Exchange می‌باشد که پس از ارسال یک ایمیل خاص قابل بهره‌برداری است. پس از باز کردن ایمیل بهره‌برداری انجام شده و کد دلخواه اجرا خواهد شد. از آنجایی که این مدل آسیب‌پذیری از نوع zero-click است، خطر آن بسیار بالا می‌باشد. بر خلاف روش‌هایی مانند فیشینگ که نیازمند کلیک و تعامل کاربر دارد، این آسیب‎پذیری تنها با باز کردن یک ایمیل مخرب قابل بهره‌برداری است.
این آسیب‌پذیری در واقع در هنگام پردازش برخی مولفه‌های ایمیل ایجاد می‌شود و مایکروسافت تایید کرده که قابلیت Preview Pane یک بردار حمله بالقوه است. قابلیت ذکر شده مشاهده محتوای ایمیل را بدون دانلود پیوست امکان‌پذیر می‌کند. وقتی که ایمیل باز شد یک buffer overflow رخ می‌دهد که به مهاجم اجازه اجرای کد با سطح دسترسی کاربر Outlook را خواهد داد. لازم به ذکر است که کد اثبات مفهوم این آسیب‌پذیری در کنفرانس DEFCON 32 ارائه خواهد شد.

محصولات تحت تاثیر
کلیه برنامه‌های زیر که به‌روزرسانی 11 ژوئن 2024 را دریافت نکرده‌اند آسیب‌پذیر می‌باشند:
•    Microsoft Outlook 2016 (64-bit edition)
•    Microsoft Outlook 2016 (32-bit edition)
•    Microsoft Office LTSC 2021 for 32-bit editions
•    Microsoft Office LTSC 2021 for 64-bit editions
•    Microsoft 365 Apps for Enterprise for 64-bit Systems
•    Microsoft 365 Apps for Enterprise for 32-bit Systems
•    Microsoft Office 2019 for 64-bit editions
•    Microsoft Office 2019 for 32-bit editions


توصیه‌های امنیتی
وصله‌های مورد نیاز جهت برطرف نمودن این آسیب‌پذیری توسط مایکروسافت منتشر شده است. توصیه می‌شود کلیه کاربران و سازمان‌ها در اسرع وقت نسبت به نصب آن اقدام نمایند.

منابع خبر:


[1] https://hackread.com/outlook-rce-vulnerability-exploits-preview-pane/
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-30103
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30103

کشف آسیب‌پذیری Path traversal در SolarWinds Serv-U

تاریخ ایجاد

شرکت SolarWinds یک هشدار امنیتی در خصوص وجود آسیب‌پذیری Directory Traversal در محصول Serv-U منتشر کرده است. این آسیب‌پذیری با شناسه CVE-2024-28995 و شدت بالا (8.6) به مهاجمان اجازه می‌دهد فایل‌های حساس را از روی ماشین میزبان بخوانند و چندین محصول تحت ویندوز و لینوکس این شرکت را تحت تاثیر قرار می‌دهد.  برنامه Serv-U به زبان ++C نوشته شده و اکثر کدهای آن در کتابخانه Serv-U.dll قرار دارند. یکی از توابع این برنامه، مسیر یک فایل را پردازش می‌نماید و بررسی‌های اضافه بر روی آن انجام می‌دهد. این بررسی به صورتی است که در صورت پیدا شدن عبارت  (\..\)، آن را تایید اعتبار و اصلاح می‌کند. بررسی‌های صورت گرفته بر روی این فایل نشان می‌دهد که بیشتر استفاده این تابع مربوط به دو پارامتر درخواست HTTP یعنی InternalDir و InternalFile می‌باشد که هر دو تابع آسیبپذیر را صدا می‌زنند. اما هنگام ارائه یک پی‌لود traversal  به این پارامترها، برنامه پی‌لود را پردازش کرده و اجازه بهره‌برداری از آسیب‌پذیریdirectory traversal را فراهم می‌نماید. این آسیب‌پذیری امکان دسترسی به فایل دلخواه بر روی سرور را فراهم می‌کند. اگر برنامه Serv-U در یک ماشین ویندوزی نصب شده باشد، داده‌های سیستم در مسیر C:\ProgramData\RhinoSoft\Serv-U\ ذخیره می‌شوند. علاوه بر این، فایل Serv-U-StartupLog.txt در پوشه system data شامل اطلاعات logging می‌باشد که هنگام شروع برنامه تولید شده‌اند و شامل نسخه سرور Serv-U نیز می‌باشد.

محصولات تحت تاثیر
نسخه 15.4.2 HF 1 محصول SolarWinds Serv-U  و نسخه‌های قبل‌تر آسیب‌پذیر می‌باشند.
نسخه‌های زیرنیز  بر روی ویندوز یا لینوکس تحت تاثیر این آسیب‌پذیری قرار دارند:



Serv-U FTP Server 15.4
Serv-U Gateway 15.4
Serv-U MFT Server 15.4

 

توصیه‌های امنیتی
شرکت Solarwinds این آسیب‌پذیری را در نسخه 15.4.2 Hotfix 2 برطرف نموده است. توصیه می‌شود کلیه کاربران این hotfix را در اسرع وقت نصب نمایند.

منابع خبر:


[1]https://gbhackers.com/solarwinds-serv-u-vulnerability-access-sensitive-files/
[2]https://attackerkb.com/topics/2k7UrkHyl3/cve-2024-28995/rapid7-analysis
[3]https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28995

کشف چندین آسیب‌پذیری در برخی از محصولات Adobe

تاریخ ایجاد

چندین آسیب‌پذیری در برخی از محصولات Adobe شناسایی و گزارش شده است که می‌تواند به مهاجم اجازه دهد تا کدهای دلخواه را در سیستم‌ هدف اجرا کند و کنترل کامل آن را به دست آورد. مهاجم پس از دسترسی به سیستم، قادر به نصب برنامه‌ها، دسترسی به داده‌ها، تغییر آن‌ها و یا ایجاد حساب‌های کاربری جدید با سطح دسترسی کامل می‌باشد. افرادی که با سطح دسترسی کمتری در سیستم فعالیت می‌کنند، ممکن است نسبت به کاربرانی که با سطح دسترسی ادمین فعالیت می‌کنند کمتر تحت تأثیر قرار بگیرند. در مجموع، نهادهای دولتی و همچنین کسب‌وکارهای بزرگ و متوسط بیشترین مخاطره احتمالی را در مواجهه با این آسیب‌پذیری‌ها دارند. می‌توانند بدون به اشتراک گذاشتن اطلاعات شخصی خود با سرویس، وارد سایت‌ها شوند.

محصولات تحت تأثیر

  • Adob Photoshop (آسیب‌پذیری با شناسه CVE-2024-20753) نسخه 2023 (24.7.3 وقبل‌تر) و 2024 (24.7 و قبل‌تر) برای سیستم عامل ویندوز با آسیب پذیری  و Out-of-bounds Read
  • Adobe Experience Manager   (آسیب‌پذیری با شناسه CVE-2024-26029) نسخه 6.5.20 و قبل‌‌تر با آسیب‌پذیری Improper Access Control با شناسه CVE-2024-26029 و آسیب پذیری xss  
  • Adobe Audition (آسیب‌پذیری با شناسه CVE-2024-30276)  نسخه 24.2 و قبل‌تر و 23.6.4 و قبل‌تر برای سیستم‌عامل ویندوز با آسیب‌پذیری Out-of-bounds Read 
  • Adobe ColdFusion (آسیب‌پذیری با شناسه‌های CVE-2024-34112 و CVE-2024-34113) نسخه 2023 8 Update و نسخه 2021 14 با آسیب‌پذیری Improper Access Control 
  •  Adobe Acrobat (آسیب‌پذیری با شناسه CVE-2024-34129) نسخه 24.4.2.33155 و قبل‌تر با آسیب‌پذیری‌های Path Traversal با شناسه CVE-2024-34129  


توصیه‌های امنیتی 

  • اعمال به‌روزرسانی‌ها: اطمینان حاصل کنید که تمام محصولات Adobe به آخرین نسخه‌های پایدار ارائه شده توسط Adobe به‌روزرسانی شده‌اند.
  • مدیریت امتیاز دسترسی: از اصل کمترین امتیاز دسترسی پیروی کنید و کلیه نرم‌افزارها را با سطح دسترسی غیر از ادمین، اجرا کنید. 
  • ممنوعیت اجرای کد: اجرای اسکریپت‌های غیرمجاز را ممنوع کرده و فقط اجازه اجرای نرم‌افزارهای و کتابخانه‌های مجاز را بدهید.


منبع خبر:


https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-adobe-products-could-allow-for-arbi…;

بهره برداری باج‌افزار TellYouThePass از یک آسیب‌پذیری با شدت بحرانی

تاریخ ایجاد

باج‌افزار TellYouThePass با بهره‌برداری از یک نقص امنیتی بحرانی با شناسه CVE-2024-4577 و شدت 9.8 در PHP و استفاده از ابزارهای ویندوزی mshta.exe، کد مخرب خود را در سیستم قربانی اجرا و بارگذاری می‌کند. این حمله از باینری mshta.exe ویندوز جهت اجرای یک فایل HTML مخرب (HTA) استفاده می‌کند که فایل HTA حاوی VBScript با یک رشته کدگذاری‌شده base64 است که به یک باینری تبدیل می‌شود و این باینری یک نسخه .NET از ransomware را در حافظه سیستم میزبان بارگذاری می‌کند. این بدافزار پس از اجرا، یک درخواست HTTP به سرور C&C ارسال می‌کند پس از برقراری ارتباط، بدافزار شروع به رمزگذاری فایل‌های موجود در ماشین آلوده می‌کند. سپس یک یادداشت باج‌خواهی به نامREAD_ME10.html  با دستورالعمل‌هایی برای قربانی در مورد چگونگی بازگرداندن فایل‌هایشان قرار می‌دهد. در واقع این آسیب‌پذیری ناشی از تبدیل‌ ناامن کاراکترهای ویندوز هنگام استفاده در حالت CGI می‌باشد.

محصولات تحت تأثیر
محصولات زیر تحت تأثیر آسیب‌پذیری مذکور قرار دارند:

  •  تمامی نسخه‌های PHP از  5.x به بعد، به ویژه نسخه‌های 8.3.8، 8.2.20 و 8.1.29 که شامل به‌روزرسانی‌های امنیتی اخیر می‌باشند. 
  • سیستم‌هایی از سرویس Apache ActiveMQ که قبلاً هدف حملات مشابهی قرار گرفته است .
  •  سیستم‌عامل ویندوز که از ابزار mshta.exe جهت اجرای فایل‌های HTML مخرب (HTA)  استفاده می‌کند.
  • سرورهای وب که از php استفاده می¬کنند به ویژه سرورهایی که در حالت CGI بر روی ویندوز پیکربندی شده‌اند.


توصیه‌های امنیتی 
اعمال فوری به‌روزرسانی PHP به نسخه‌های آخر8.3.8- 8.2.20-8.1.29 
نظارت بر ترافیک شبکه و استفاده از IDS/IPS
محدود کردن استفاده از ابزارهای اجرای کد مانندmshta.exe  
پشتیبان‌گیری منظم از داده‌ها و نگه‌داشتن پشتیبان‌ها در مکانی امن و جدا از شبکه اصلی
آموزش کاربران در خصوص خطرات احتمالی و نحوه شناسایی حملات و استفاده از نرم‌افزارهای امنیتی پیشرفته و به‌روزرسانی منظم سیستم‌ها.

منبع خبر:


https://www.bleepingcomputer.com/news/security/tellyouthepass-ransomware-exploits-recent-php-rce-fl…

کشف آسیب‌پذیری در Apache Allura

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-36471 و شدت بالا در Apache Allura کشف شده است که امکان افشای اطلاعات حساس از طریق DNS Rebinding را برای مهاجم فراهم می‌آورد. این آسیب‌پذیری امنیتی که مربوط به عملکرد Import (واردات) در پروژه‌های  Apache Alluraاست، از نوع DNS Rebinding بوده و در فرآیند تایید و پردازش URL رخ می‌دهد. بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به افشای اطلاعات حساس سرویس‌های داخلی سازمان شود. با اجرای Import مهاجم می‌تواند به جای یک منبع خارجی، به یک منبع و سرویس داخلی سازمان (مانند یک وب‌سرور داخلی) هدایت شود. این امر به مهاجم امکان دسترسی به اطلاعاتی را می‌دهد که نباید از طریق فرآیند Import  در معرض دید قرار گیرد.

محصولات تحت تأثیر
این آسیب‌پذیری Apache Allura نسخه‌های 1.0.1 تا 1.16.0را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Apache Allura به نسخه 1.17.0 اقدام نمایند.
* اگر قادر به اعمال به‌روزرسانی امنیتی نیستید:


"disable_entry_points.allura.importers = forge-tracker, forge-discussion"
 

را در فایل پیکربندی .ini تنظیم کنید.

منبع خبر:


 https://lists.apache.org/thread/g43164t4bcp0tjwt4opxyks4svm8kvbh

کشف آسیب‌پذیری در Microsoft Message Queuing

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-30080 و شدت 9.8 (بحرانی) در مایکروسافت (MSMQ) Microsoft Message Queuing کشف شده است که به مهاجم احرازهویت‌نشده این امکان را می‌دهد با ارسال یک پیام ساختگی خاص به سرویس MSMQ و اجرای کد دلخواه SYSTEM به روی سیستم هدف، برنامه‌ها را نصب، داده‌ها را مشاهده، تغییر و یا حذف کند و حساب‌های کاربری جدید با سطح دسترسی کامل برای کاربران ایجاد کند و از این طریق کنترل سیستم را به دست بگیرد. بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و در بدترین شرایط هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).

محصولات تحت تأثیر 
این آسیب‌پذیری سرویس MSMQ تحت تاثیرقرار می دهد.


توصیه امنیتی
 به کاربران توصیه می‌شود که در اسرع وقت جهت رفع آسیب‌پذیری مذکور، در صورت نیاز، خدمات MSMQ را فقط به شبکه‌های قابل اعتماد محدود کنید و فایروال‌ها را برای محدود کردن دسترسی به پورت‌های مرتبط با سرویس های MSMQ فعال کنند.

منابع خبر:

 

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-30080
[2]https://feedly.com/cve/CVE-2024-30080

کشف آسیب‌پذیری درافزونه Post & Scheduler وردپرس

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-3549 و شدت 9.9 در افزونه Post & Scheduler  کشف شده است،کاربران جهت زمان‌‌بندی یکپارچه پست‌‌ها، از این افزونه استفاده می‌کنند. مهاجم می‌تواند از طریق این آسیب‌پذیری، از طریق پارامتر b2sSortPostType منجر به تزریق کد از راه دور شود و پس از احرازهویت وی، این امکان برای او  فراهم خواهد شد تا SQL query دیگری را به queryهای موجود اضافه و از این طریق، اطلاعات حساس را از پایگاه داده استخراج کند.
براساس بردار حمله این آسیب‌پذیری  AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین می‌باشد (PR:L)، و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).

محصولات تحت تأثیر
این آسیب‌پذیری همه نسخه‌های افزونه Geo Directory- Busines از جمله نسخه 7.4.1 را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت، افزونه خود را به نسخه 7.4.2 به‌روزرسانی کنند.

منابع خبر:

 

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-3549

[2] https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/blog2social/blog2social-so…

انتشار بدافزار با استفاده از بروزرسانی جعلی مرورگرها

تاریخ ایجاد

مهاجمان سایبری با استفاده از به‌روزرسانی‌های جعلی مرورگرها، بدافزارهایی نظیر BitRAT و Lumma Stealer را توزیع می‌کنند. این حملات با هدایت کاربران به وب‌سایت‌های آلوده و دانلود فایل‌های مخرب توسط آن‌ها آغاز می‌شوند. با بازدید قربانیان از یک وب‌سایت آلوده که در آن کدی به زبان جاوااسکریپت قرار داده شده است، کاربران به یک صفحه جعلی به‌روزرسانی مرورگر هدایت می‌شوند که تحت دامنه‌ای مانند "abcde-app[.]cloud" قرار دارد. هدف این حمله فریب کاربران برای دانلود و نصب نرم‌افزارهای مخرب یا انجام اقدامات مخرب دیگر است.
پس از هدایت کاربران به صفحه جعلی به‌روزرسانی مرورگر، در این صفحه یک لینک دانلود قرار داده شده است که به یک فایل ZIP به نام "Update.zip" اشاره دارد. این فایل ZIP در پلتفرم Discord میزبانی می‌شود و به صورت خودکار در دستگاه قربانی دانلود می‌شود. این کار دستگاه قربانی را با بدافزارهای موجود در فایل  ZIP  آلوده می‌کند. در داخل این فایل ZIP، یک فایل جاوااسکریپت دیگر به نام "Update.js" وجود دارد. این فایل جاوااسکریپت باعث اجرای اسکریپت‌های PowerShell می‌شود. وظیفه این اسکریپت‌ها دانلود payloadهای اضافی از یک سرور راه دور است. این payloadهای اضافی شامل بدافزارهایی مانند BitRAT و Lumma Stealer هستند که به شکل فایل‌های تصویر PNG دریافت می‌شوند تا از شناسایی بدافزارها جلوگیری شود.
علاوه بر دانلود بدافزارهای BitRAT و Lumma Stealer، اسکریپت‌های PowerShell دیگری نیز به این روش دریافت می‌شوند که هدف آن‌ها ایجاد پایداری در سیستم قربانی است. همچنین یک لودر مبتنی بر .NET دریافت می‌شود که با هدف راه‌اندازی بدافزارهای نهایی استفاده می‌شود.
جزئیات بدافزارها و برخی تکنیک‌های مربوط به این حمله به شرح ذیل است:

  • BitRAT: یک بدافزار کنترل از راه دور (RAT) با ویژگی‌های پیشرفته است که به مهاجمان امکان  جمع‌آوری داده‌ها، استخراج ارزهای دیجیتال، دانلود فایل‌های اجرایی و کنترل سیستم‌های آلوده از راه دور را می‌دهد.
  • Lumma Stealer: یک بدافزار سرقت اطلاعات است که قادر است اطلاعاتی را از مرورگرهای وب، کیف‌پول‌های ارز دیجیتال و سایر برنامه‌ها و منابع حساس استخراج کند.

وب‌سایت مخربی که برای این حمله طراحی شده، ادعا می‌کند که "مشکلی در نمایش این صفحه وب پیش آمده" و از بازدیدکننده می‌خواهد تا دسترسی root را برای رفع مشکل فعال کند و سپس کدهای مخرب را در powershell  اجرا می‌کند. کد PowerShell مخرب پس از اجرا چندین کار را انجام می‌دهد:
1. پاکسازی کش DNS: کد PowerShell کش DNS سیستم را پاکسازی می‌کند تا مطمئن شود که هیچ ردپای شبکه‌ای باقی نمی‌ماند و ارتباطات جدید با سرورهای مخرب برقرار می‌شود.
2. نمایش یک Message Box: یک پیام به کاربر نمایش می‌دهد، احتمالاً برای ایجاد نوعی اطمینان یا فریب بیشتر.
3. دانلود کدهای PowerShell بیشتر: کدهای اضافی PowerShell را جهت اجرای عملکردهای مخرب بیشتری دانلود می‌کند.
4. نصب بدافزار 'LummaC2': بدافزار LummaC2 را برای کنترل از راه دور سیستم آلوده و سرقت اطلاعات حساس نصب می‌کند.
بدین ترتیب این کد به طور هوشمندانه‌ای چندین عملیات را جهت جلوگیری از شناسایی و حذف توسط سیستم‌های امنیتی اجرا کرده و دسترسی کامل به سیستم قربانی را برای مهاجمان ممکن می‌سازد.

توصیه‌های امنیتی:
بیش از ۵۰,۰۰۰ لینک خطرناک در شش ماه گذشته برای توزیع بدافزارها، انجام حملات فیشینگ و ارسال هرزنامه (ایمیل‌های اسپم) استفاده شده‌اند که نشان‌دهنده افزایش فراگیری این نوع حملات است. بنابراین، لازم است که کاربران و سازمان‌ها نه تنها به به‌روزرسانی‌های امنیتی سیستم‌های خود اهمیت دهند، بلکه به آگاهی و آموزش مداوم درباره جدیدترین تهدیدات و روش‌های حمله نیز توجه ویژه‌ای داشته باشند. این تغییر در رویکرد به امنیت سایبری، می‌تواند کلید مقابله با موج جدید حملات هوشمندانه و پیچیده باشد.
 

منبع خبر:


https://thehackernews.com/2024/06/beware-fake-browser-updates-deliver.html