جزئیاتی از 180 مورد خدمات مرکز ماهر از جمله فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخشهای دریافت کننده خدمات و نحوه مطلع شدن مرکز از رخدادها در هفته سوم آبان ماه (13 لغایت 19 آبان ماه) در گرافهای زیر قابل مشاهده است. گزارشات عملکرد این مرکز من بعد به صورت هفتگی و منظم در پورتال مرکز ماهر ارائه خواهد شد. از دریافت پیشنهادات و نظرات کارشناسان محترم این حوزه از طریق ایمیل report@cert.ir استقبال و تشکر میشود.
سیسکو در هفته گذشته چندین آسیبپذیری را در محصولات مختلف خود رفع کرده است. نفوذگران با اکسپلویت برخی از این آسیبپذیریها می توانند کنترل سیستم آسیبپذیر را در اختیار بگیرند. جهت دریافت لیست محصولات و آسیبپذیریها اینجا کلیک کنید.
گوگل نسخه 86.0.4240.183 از گوگل کروم را برای ویندوز،Mac و لینوکس جهت رفع چندین #آسیبپذیری ازجمله آسیبپذیریCVE-2020-16009 که به صورت گسترده اکسپلویت میشود، منتشر کرده است. در این بهروزرسانی گوگل 6 آسیبپذیری با درجه اهمیت بالای دیگر را نیز بهروزرسانی کرده است.
لیست آسیبپذیریهای رفع شده در نسخه جدید گوگل کروم:
بعلاوه گوگل نسخه 86.0.4240.185 از گوگل کروم اندروید را جهت رفع آسیبپذیری سرریز بافر با شناسه CVE-2020-16010 منتشر کرده است.
توصیه میشود کاربران گوگل کروم به صورت دستی نسخه کروم خود را چک کرده و از به روز بودن آن اطمینان حاصل نماییند.
منبع:
محققان امنیتی گوگل، یک آسیبپذیری روز صفر را در سیستمعامل ویندوز که در حال حاضر به صورت گسترده اکسپلویت میشود، افشاء کردهاند. مایکروسافت هنوز وصلهای برای این آسیبپذیری منتشر نکرده است. براساس گفته Ben Hawkes، مدیر تیم تحقیقات آسیبپذیری گوگل (Project Zero)، انتظار میرود تا در 10ام ماه نوامبر سال جاری میلادی برای این آسیبپذیری وصلهای ارائه شود.
این حمله، یک حمله دو جانبه است که با آسیبپذیری روز صفر گوگل کروم شروع میشود. آسیبپذیری گوگل کروم به هکرها اجازه اجرای کد داخل کروم را می دهد. سپس آسیبپذیری روز صفر ویندوز در بخش دوم حمله به مهاجمان امکان دور زدن container امن کروم را میدهد تا بتوانند کد خود را در سیستمعامل اجرا کنند. متخصصان امنیت این اتفاق را فرار از سندباکس (sandbox escape) مینامند.
تیم Project Zero گوگل در هفته گذشته این آسیبپذیری را به مایکروسافت اطلاع داده و هفت روز به این شرکت مهلت داد تا این باگ را وصله کند. در نهایت این تیم پس از اتمام زمان اختصاص داده شده، درحالی که هنوز مایکروسافت وصلهای را ارائه نکرده بود، جزئیات این آسیبپذیری را منتشر کرد.
طبق گزارش گوگل، آسیبپذیری روز صفر یک باگ در هسته ویندوز است که میتواند برای ارتقاء مجوز دسترسی مورد استفاده قرار گیرد. براساس گزارش، آسیبپذیری مذکور تمامی نسخههای ویندوز بین ویندوز ۷ و ویندوز ۱۰ را تحتتاثیر قرار میدهد.
Hawkes جزئیاتی درباره این که چه کسانی از این دو آسیبپذیری روز صفر استفاده میکنند، ارائه نکرده است. با این وجود، اغلب آسبپذیریهای روز صفر توسط گروههای هکر تحت حمایت دولتها یا گروههای تروریستی بزرگ کشف و مورد سواستفاده قرار میگیرند. این حملات توسط دیگر تیم امنیتی گوگل، تیم تحلیل تهدید گوگل (TAG) نیز تایید شده است. آسیبپذیری روز صفر کروم در نسخه 86.0.4240.111 وصله شده است که پیش از این مرکز ماهر آن را اطلاع رسانی کرده بود.
این دومین بار است که گوگل یک حمله بر اساس دو آسیبپذیری را فاش میکند که شامل آسیبپذیری روز صفر ویندوز و کروم است. پیش از این گوگل در مارس ۲۰۱۹ اظهار داشته بود که مهاجمان یک آسیبپذیری روز صفر کروم (CVE-2019-5786) را با آسیبپذیری روز صفر ویندوز (CVE-2019-0808) ترکیب کردهاند.
با توجه به اینکه مایکروسافت هنوز وصلهای برای این آسیبپذیری منتشر نکرده است، توصیه میشود که کاربران عزیز برای پیشگیری از این حمله گسترده از بهروز بودن مرورگر گوگل کروم خود اطمینان حاصل نمایند. انتشار وصله برای آسیبپذیری ویندوز، از طریق پورتال مرکز ماهر به اطلاع خواهد رسید.
منبع:
https://www.zdnet.com/article/google-discloses-windows-zero-day-exploited-in-the-wild/
وردپرس با انتشار نسخه 5.5.2 خود 10 مورد آسیبپذیری با شدت اهمیت بالا را بهروزرسانی کرد. یکی از این آسیبپذیریها به مهاجم احراز هویت نشده راه دور این امکان را میدهد که با حمله منع سرویس کنترل وبسایت را در دست گیرد. وردپرس در این بهروزرسانی 10 باگ امنیتی را رفع کرده و ویژگیهای پلتفرم را بهبود داده است. بنا به گفته وردپرس این نسخه، یک نسخه پایدار و کوتاه مدت امنیتی است و با انتشار نسخه 5.6 تمامی نسخههای بعد از نسخه 3.7 بهروزرسانی خواهد شد.
یک مورد از این 10 آسیبپذیری که توسط وردپرس بهروزرسانی شده است، یک ضعف برجسته با شدت اهمیت بالا است که اکسپلویت آن به مهاجم احراز هویت نشده، اجازه اجرای کد از راه دور را در سیستم میزبان وبسایت آسیبپذیر میدهد. دلیل اصلی این آسیبپذیری عدم مدیریت کامل منابع داخلی در برنامه است که منجر به تبدیل حمله منع سرویس به اجرای کد از راه دور میشود.
براساس گفتههای Ganiev (محققی که این آسیبپذیری را کشف کرده است) علیرغم اینکه، تأثیر این آسیبپذیری بالا است اما به دلیل پیچیدگی احتمال انجام این حمله در سطح گسترده کم است و حتی زمانی که شرایط حمله مهیا است، بایستی بتوان حمله منع سرویس دقیقی را پیادهسازی کرد.
این آسیبپذیری سه سال پیش کشف شده بود اما در جولای سال 2019 میلادی به وردپرس گزارش شده است. Ganiev دلیل این تأخیر در گزارش آسیبپذیری را ارائه کدهای اثبات (proof-of-concep) اکسپلویت مختلف عنوان کرده است. توجه به این نکته مهم است که نه وردپرس و نهGaniev اعتقادی به اکسپلویت گسترده این آسیبپذیری ندارند.
چهار مورد از این آسیبپذیریها رفع شده در بهروزرسانی اخیر، دارای شدت متوسط هستند که سه مورد از آنها میتواند توسط کاربر احراز هویت نشده و از طریق اینترنت اکسپلویت شوند و در یک مورد نیاز است تا کاربر احراز هویت شده باشد. یکی از این آسیبپذیری ها دارای شدت متوسط از نوع تزریق اسکریپت است که بهطور بالقوه بسیار خطرناک میباشد. حمله موفق به این آسیبپذیری به مهاجم از راه دور اجازه دسترسی به اطلاعات حساس، تغییر ظاهر صفحه وبسایت، انجام فیشینگ و انجام حملات drive-by-download را میدهد.
منبع:
آسیبپذیری در محصول Oracle WebLogic Server از Oracle Fusion Middleware که با شناسه CVE-2020-14882 معرفی شده و براساس CvssV3 شدت امتیاز 9.8 دارد، نسخههای10.3.6.0.0 ،12.1.3.0.0 12.2.1.3.0،12.2.1.4.0 و 14.1.1.0.0از این محصول را تحت تاثیر قرار میدهد. این آسیبپذیری که اکسپلویت آن بسیار ساده است به کاربر احراز هویت نشده که دارای دسترسی شبکه است اجازه میدهد Oracle WebLogic Server را از طریق پروتکل HTTP تهدید کند. حمله موفق به این آسیبپذیری موجب کنترل Oracle WebLogic Server خواهد شد.
علی رغم اینکه، تاکنون شواهدی از وجود کد اکسپلویت عمومی برای این آسیبپذیری وجود ندارد اما شواهدی از اکسپلویت این آسیبپذیری وجود دارد. بنابراین توصیه میشود، کاربران این محصول هرچه سریعتر نسبت به بهروزرسانی محصول خود اقدام نمایند.
منبع:
پلاگین محبوب امنیتی Loginizer WordPress آسیبپذیری با شناسه CVE-2020-27615 را رفع کرده است که بیش از یک میلیون سایت را تحت تاثیر قرار میدهد. این آسیبپذیری که نسخههای پیش از نسخه 1.6.4 پلاگین را تحت تاثیر قرار میدهد اجازه تزریق SQL و حمله XSS را به مهاجم راه دور می دهد.
مهاجم احراز هویت نشده در صورتی که موفق به تزریقSQL شود، میتواند دادههای پایگاهداده را تغییر دهد. حمله استفاده شده علیه این افزونه که با عنوان تزریق Blind SQL شناخته میشود با واردکردن دادههایی به بخش ورودی باهدف دریافت پاسخ خطا انجام میگیرد. که در این افزونه داده ورودی آسیبپذیر "username" است.
مسئله Loginizer به تزریق SQL محدود نمیشود و اکسپلویت دوم منجر به XSS stored میشود. در این حمله مهاجم معمولاً می تواند بهصورت مستقیم فایلهای آلوده را تزریق کرده و سایت WordPress یا اطلاعات هویتی کاربر را در اختیار بگیرد.
WordPress بهروزرسانی اجباری را فعال کرده است. اکثر سایتهایی که از این پلاگین استفاده میکنند (تقریباً 89 درصد) بایستی پلاگین خودشان را با موفقیت بهروزرسانی کرده باشند.
توصیه میشود که همه ناشران WordPress که از پلاگین امنیتی Loginizer استفاده میکنند، نسخه پلاگین خود را بررسی کرده و در صورت نیاز، بهروزرسانیهای لازم را انجام دهند.
منبع:
بر اساس گزارش تیم Imperva، باتنت KashmirBlack به طور گسترده پلت فرم های مدیریت محتوای پرکاربرد را آلوده می کند. این باتنت با سوءاستفاده از چندین آسیبپذیری شناخته شده بر روی سرور قربانی، بطور میانگین میلیون ها حمله را هر روزه و بر روی چندین هزار قربانی در بیش از 30 کشور انجام می دهد.
در این گزارش محققان Imperva پیاده سازی و سیر تکامل این بات نت خطرناک را از ماه نوامبر 2019 تا پایان ماه می 2020 میلادی بررسی کرده اند. در این تحقیق چگونگی استفاده بات نت از سرویس های ابری همچون Github، Pastebin و Dropbox به منظور کنترل و مخفی کردن عملیات بات نت و چگونگی نفوذ آن به ماینر ارزهای دیجیتالی و deface یک سایت گفته شده است. برای مطالعه در خصوص نشانه های حمله اینجا کلیک کنید.
در هفته گذشته شرکت سیسکو چندین بهروزرسانی را در راستای رفع آسیبپذیری های محصولات خود ارائه کرده است. مهاجمان میتوانند، برخی از این آسیبپذیریها را از راه دور اکسپلویت کرده و کنترل سیستمهای آسیبپذیر را به دست بگیرند. در پیوست لیست محصولات Cisco که برای آنها بهروزرسانی ارائه شده، به همراه نوع آسیبپذیریها آنها آورده شده است. توصیه میشود کاربران محصولات آسیبپذیر با مراجعه به سایت سیسکو محصول خود را بهروزرسانی نمایند.
شرکت اوراکل در گزارش 3 ماهه اخیر خود، 402 مورد آسیبپذیری را که بیش از نیمی از آنها بدون نیاز به احراز هویت و از راه دور قابل بهرهبرداری هستند، رفع کرده است. از این میان دو مورد از آسیبپذیریها بر اساس استاندارد CVSS دارای بالاترین شدت اهمیت بوده و دارای امتیاز 10 از 10هستند.
در بهروزرسانی اکتبر، آسیبپذیریهای 27 محصول اوراکل رفع شده است که تعدادی از این محصولات مهم اوراکل که در معرض بیشترین آسیبپذیریها قرار دارند، در جدول 1 نمایش داده شده است. توصیه میشود، مشتریان محصولات اوراکل با مراجعه به مستندات مربوط به اصلاحیههای موجود اقدام به رفع آسیبپذیری نمایید.
شرکت اوراکل به صورت پیوسته در حال دریافت گزارشهایی مبنی بر تلاش برای بهرهبرداری از این آسیبپذیریها که بهروزرسانی آنها اخیرا ارائه شده، بوده است. در برخی موارد، به دلیل عدم اعمال بهروزرسانیها از طرف کاربر، اکسپلوست موفقیتآمیز از این آسیبپذیریها نیز گزارش شده است. بنابراین به شدت توصیه میشود که مشتریان از نسخه بهروز که پشتیبانی میشوند، استفاده کرده و بهروزرسانیها را هرچه سریعتر اعمال کند.
دو مورد از این آسیبپذیری ها که دارای شدت 10 هستند، بسیار خطرناک میباشند. اولین آسیبپذیری با شناسه CVE-2020-1953 است که بدون نیاز به احراز هویت و تعامل با کاربر میتواند از راه دور بهرهبرداری شود. این آسیبپذیری در المان Self Service Analytics از محصول Oracle Healthcare Foundation قرار دارد و نسخههای 7.1.1، 7.2.1، 7.2.0 و 7.3.0 را تحت تاثیر قرار میدهد.
دومین آسیبپذیری با شناسه CVE-2020-14871 در ماژول Pluggable authentication module از محصول Oracle Solaris است. این آسیبپذیری بدون نیاز به احراز هویت و دخالت کاربر میتواند از راه دور اجرا شود و این حمله بر اساس معیارهای استاندار CVSS یک حمله با پیچیدگی کم (low-complexity) محسوب میشود و نسخههای 10 و 11 را تحت تأثیر قرار میدهد.
لازم است توجه شود که 67 مورد از آسیبپذیریهای رفع شده در بهروزرسانی اخیر بر اساس CVSS امتیاز 9.8 را دارند.
برای حملاتی که مستلزم مجوز یا دسترسی به پکیج خاصی هستند، شرکت اوراکل توصیه میکند تا مجوزها و دسترسی کاربرانی که نیازی به این مجوزها ندارند، حذف گردد. این عمل به کاهش ریسک ناشی از حملات موفق کمک خواهد کرد. با این حال این دو رویکرد ممکن است در عملکرد برنامه خللی ایجاد کند پس اوراکل این رویکردها را به عنوان راهحل بلندمدت توصیه نمیکند.
توصیه میشود کاربران با توجه به خطرات ناشی از حملات به آسیبپذیریهای رفع شده، هرچه سریعتر اقدام به رفع آسیبپذیری سه ماه اخیر نمایند. بهروزرسانیهای سه ماهه قبلی در آوریل منجر به رفع 405 مورد آسیبپذیری در خط تولید شرکت گردیده است. چندین آسیبپذیری out-of-band نیز بهروزرسانی شده است؛ برای مثال، در ژوئن شرکت اوراکل هشداری مبنی بر آسیبپذیری بحرانی اجرای کد از راه در WebLogic Server اعلام کرده که به صورت گسترده بهرهبرداری شده است.
منابع: