سیستم مدیریت محتوا دروپال (Drupal) به روزرسانی امنیتی را برای رفع چندین ‫آسیب‌پذیری مختلف در نسخه های x.7، x.8.8، x.8.9 و x.9.0 منتشر کرده است. نفوذگران با بهره برداری از این آسیب پذیری ها می‌توانند اطلاعات حساسی را کسب کرده یا حمله تزریق کد (Cross-site scripting) انجام دهند. جهت مطالعه لیست آسیب‌پذیری‌های بروز شده و راه کارهای مقابله با آن‌ها اینجا کلیک کنید.
 

اخیراً شرکت سامسونگ برای رفع برخی ‫آسیب‌پذیری‌های بحرانی موجود در تلفن‌های همراه خود، بروزرسانی‌های امنیتی منتشر کرد. این بروزرسانی‌های امنیتی شامل تعداد زیادی وصله امنیتی می‌باشد که همه آسیب‌پذیری‌های مهم در بسیاری از نسخه‌های سیستم‌عامل‌ Android را برطرف می‌کند. با این حال، بروزرسانی امنیتی منتشر شده در سپتامبر سال 2020، شامل تلفن همراه مدل (SM-N960F(Galaxy Note 9 نیز خواهد شد. جهت مطالعه بیشتر اینجا کلیک کنید.

طبق تحقیقات صورت گرفته، هکرها در حال بهره‌برداری گسترده از ‫آسیب‌پذیری ارتقای مجوز دسترسی (elevation of privilege) با شناسهCVE-2020-1472 در Netlogon مایکروسافت می‌باشند. این در حالی است که مایکروسافت وصله این محصول را در ماه اگوست سال 2020 میلادی منتشر کرده‌است. هکرها با بهره‌برداری از این آسییب‌پذیری در سیستم‌هایی که هنوز به‌روزرسانی نشده‌اند، دسترسی Administrator دامنه را به دست می‌آوردند.

Netlogonاز تمام کاربران درخواست می‌شود تا با مراجعه به سایت مایکروسافت سیستم خود را به‌روزرسانی نمایند.

https://www.tenable.com/blog/cve-2020-1472-zerologon-vulnerability-in-netlogon-could-allow-attacker…

‫آسیب‌پذیری روز صفر شناسایی شده در ویندوز 10 امکان ایجاد فایل در فولدر "system 32" را برای کاربران غیر مجاز فراهم می‌آورد. این فولدر جزء ناحیه محدود شده (Restricted) سیستم‌ عامل است که اطلاعات حیاتی سیستم‌عامل و نرم افزارهای نصب شده آن در این فولدر نگهداری می‌شود. این آسیب‌پذیری فقط در دستگاه‌هایی که ویژگی Hyper-V در آن‌ها فعال است، وجود دارد که این عامل موجب کاهش تعداد دستگاه‌های هدف این حمله می‌شود. چراکه این ویژگی به صورت پیش‌فرض در نسخه‌های Pro،Enterprise وEducation از ویندوز 10 فعال نیست.
Hyper-V ویژگی است که ویندوز 10 برای ایجاد ماشین مجازی مورد استفاده قرار می‌دهد. با فراهم‌سازی منابع سخت‌افزار کافی، Hyper-V می‌تواند ماشین‌های مجازی بزرگ با 32 پردازنده و 512 گیگ رم را اجرا نماید. یک کاربر عادی ممکن است، هیچ‌گاه نیاز به اجرای ماشین مجازی با این مشخصات نداشته باشد؛ اما کاربران عادی ممکن است مایل باشند تا Sandbox ویندوز را اجرا نمایند که استفاده از این ویژگی به صورت خودکار Hyper-V را فعال می‌نماید.
مایکروسافت در به‌روز‌رسانی ماه می‌ سال 2019 ، Sandbox را در نسخه 1903 از ویندوز 10 معرفی کرد. کاربران با فعال سازی Sandbox می توانند در محیط ایزوله و بدون نگرانی از تحت تاثیر قرار گرفتن سیستم‌عامل خود برنامه‌ای را که به آن اعتماد ندارند، اجرا کنند یا وبسایتی مشکوکی را باز نمایند.
کاربران ویندوز 10 باید توجه نمایند که مایکروسافت فعلا وصله‌ای برای این محصول ارائه نداده است.

منبع:

https://www.bleepingcomputer.com/news/security/windows-10-sandbox-activation-enables-zero-day-vulne…

مایکروسافت در اصلاحیه‌ای که 8 سپتامبر 2020 میلادی منتشر کرد برای 129 ‫آسیب‌پذیری محصولات خود، وصله ارائه نموده‌است. از میان این آسیب‌پذیری‌ها 23 مورد جزء دسته‌بندی آسیب‌پذیر‌ها با درجه اهمیت بحرانی (Critical) هستند، 105 مورد در دسته‌بندی با درجه اهمیت مهم (Important) قرار دارند و یک مورد نیز در دسته‌بندی با درجه اهمیت متوسط (Moderate) است. خوشبختانه هیچ آسیب‌پذیری روز صفری در میان آسیب‌پذیری‌های رفع شده در اصلاحیه سپتامبر وجود ندارد. با این وجود، چند آسیب‌پذیری با درجه اهمیت بحرانی که منجر به اجرای کد از راه دور می‌شوند، در این اصلاحیه رفع شده است. جهت مطالعه بیشتر اینجا کلیک نمایید.

در پی نقص امنیتی موجود در نرم‌افزار ویدئو کنفرانس Jabber، شرکت سیسکو، نسخه جدیدی از این نرم‌افزار را برای سیستم‌عامل‌های ویندوز منتشر کرد که در این بروزرسانی، آسیب‌پذیری‌های موجود را وصله زده است. تبعات ناشی از این ‫آسیب‌پذیری ممکن است بسیار خطرناک باشد و در صورت بهره‌برداری از آن، احراز هویت مهاجم غیرمجاز تأیید شده و در نتیجه می‌تواند از راه دور کد دلخواد را اجرا کند. شدیدترین و خطرناک‌ترین نقص امنیتی مربوط به آسیب‌پذیری با شناسه "CVE-2020-3495" و به دلیل اعتبارسنجی نادرست محتویات پیام است. با ارسال پیام مخرب و ساختگی Extensible Messaging and Presence Protocol (XMPP) توسط مهاجم، نرم‌افزار تحت تأثیر، مورد سوءاستفاده قرار می‌گیرد. این نقص دارای امتیاز CVSS 9.9 و شدت بحرانی است.

بنا بر اظهارات منتشر شده از طرف شرکت سیسکو: بهره‌برداری موفق از این آسیب‌پذیری موجب خواهد شد تا اپلیکیشن، برنامه‌های دلخواه را با سطح دسترسی حساب‌کاربری‌ای که در حال اجرای نرم‌افزار کلاینت Jabber می‌باشد، بر روی سیستم هدف اجرا کند و منجر به اجرای کد دلخواه شود. این نقص پس از هشدار سیسکو مبنی بر بهره‌برداری از نقص روز صفرم نرم‌افزار روتر IOS XR به وجود آمد.
XMPP (که Jabber نامیده می‌شود) یک پروتکل ارتباطی مبتنی بر XML است که جهت سهولت در امر پیام‌رسانی فوری بین دو یا چند شبکه استفاده می‌شود، این پروتکل به گونه‌ای طراحی شده است که توسعه‌پذیر بوده و امکان اضافه شدن قابلیت‌های جدید از جمله XEP-0071: XHTML-IM به آن وجود دارد. نقص Cisco Jabber در واقع ناشی از آسیب‌پذیری (cross-site scripting (XSS به هنگام تجزیه و تحلیل پیام XHTML-IM می‌باشد.

به گفته محققان Watchcom، این اپلیکیشین، پیام‌های HTML ورودی را به خوبی بررسی نمی‌کند و در عوض آن‌ها را از طریق فیلتر XSS معیوب، منتقل می‌کند؛ در نتیجه یک پیام مجاز XMPP، قطع و اصلاح شده و باعث خواهد شد تا اپلیکیشن، یک برنامه اجرایی دلخواه را که از قبل در مسیر فایل محلی اپلیکیشن وجود داشته را اجرا کند. برای این امر، از تابع آسیب‌پذیر Chromium Embedded Framework (CEF) یعنی یک فریمورک اوپن سورس که در مرورگر وب اپلیکیشن‌های دیگر استفاده می‌شود، بهره گرفته می‌شود. این امر می‌تواند توسط مهاجم مورد سوءاستفاده قرار گرفته و منجر به اجرای فایل "exe."در دستگاه قربانی شود.
بااین وجود، مهاجمان باید به دامنه‌های XMPP قربانی دسترسی داشته باشند تا جهت بهره‌برداری موفق از آسیب‌پذیری مذکور، پیام مخرب XMPP را ارسال کنند. علاوه بر این، سه نقص دیگر با شناسه‎‌های "CVE-2020-3537"، "CVE-2020-3498" و "CVE-2020-3430"، می‌تواند جهت تزریق دستورات مخرب و افشای اطلاعات مورد بهره‌برداری قرار گیرند، از جمله پسورد هش شده NTLM کاربران.

جهت کاهش خطرهای احتمالی، نرم‌افزار خود را به جدیدترین نسخه و نسخه‌هایی که این آسیب‌پذیری در آن‌ها رفع شده است(یعنی 12.1.3 , 12.5.2, 12.6.3, 12.7.2, 12.8.3 و 12.9.1) بروزرسانی کنید.

منابع:

[1] https://thehackernews.com/2020/09/cisco-jabber-hacking.html
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3495
[3] https://www.helpnetsecurity.com/2020/09/03/cve-2020-3495/

هکرها کماکان در حال بهره‌برداری گسترده از ‫آسیب‌پذیری اجرای کد از راه دور در ثابت‌افزار (Firmware) استفاده‌شده در دستگاه‌های ذخیره‌ساز متصل به شبکه (QNAP (NAS که پیش از این هشدار آن منتشر شده بود، است. این درحالیست که آسیب‌پذیری مذکور سه سال پیش توسط کمپانی QNAP در نسخه 4.3.3 رفع شده ‌است. هکرها با سوء‌استفاده از باگ Command Injection موجود در دستگاه QNAP NAS حمله اجرای کد از راه دور را اجرا می‌کنند. این باگ در برنامه CGI در مسیر /httpd/cgi-bin/authLogout.cgi است. این کد در زمان خروج کاربران برای انتخاب تابع logout مناسب بر اساس فیلد "name" موجود در کوکی استفاده می‌شود.
QNAP این آسیب‌پذیری را در تاریخ 21 جولای سال 2017 با حذف متدی که دستورات از طریق آن تزریق می‌شد، در نسخه 4.3.3 رفع نموده است. لیست نسخه‌های آسیب‌پذیر ثابت‌افزار QNAP در جدول ذکر شده است.

باید توجه داشت که هکرها در حال سوءاستفاده گسترده از آسیب‌پذیری‌های QNAP هستند. برای مثال در اوایل اگوست آژانس امنیتUS و UK از استفاده گسترده از بدافزار QSnatch خبر داده‌اند. بنابراین توصیه می‌شود تا کاربران QNAP در اسرع وقت ثابت‌افزار خود را به‌روزرسانی نمایند و همچنین همواره سیستم خود را با هدف شناسایی فرایندها و اتصالات شبکه غیرطبیعی به صورت مرتب بازرسی و مانیتور نمایند.
منابع:

[1] https://securityaffairs.co/wordpress/107750/hacking/qnap-nas-attacks.html
[2]https://blog.netlab.360.com/in-the-wild-qnap-nas-attacks-en

در 29 اگوست سال 2020 میلادی، سیسکو طی بیانیه‌ای در خصوص وجود ‫آسیب‌‌پذیری روز صفر در نرم‌افزارIOS XR هشدار داد. این بیانیه پس از آگاهی تیم پاسخ حوادث امنیتی محصولات سیسکو از تلاش برای بهره‌برداری از این آسیب‌پذیری منتشر شد. سیسکو دو روز بعد با به‌روزرسانی بیانیه قبلی خود از وجود آسیب‌پذیری دیگری نیز در همین نرم‌افزار (نرم‌افزار IOS XR) خبر داد. شناسه‌های CVE-2020-3569 وCVE-2020-3566 به این دو آسیب‌پذیری اختصاص داده ‌شده ‌است و هر دو آسیب‌پذیری دارای شدت بالا هستند.
هر دستگاه سیسکویی که نرم‌افزار IOS XR را با یک اینترفیس فعال و پیکربندی مسیریابی Multicast استفاده می‌کند، تحت تاثیر این آسیب‌پذیری‌ها قرار دارد. این آسیب‌پذیری‌ها که از نوع انکار‌ سرویس هستند به دلیل مدیریت نادرست صف بسته‌های Internet Group Management Protocol) IGMP) ایجاد می‌شوند.
هکرها برای بهره‌برداری از این آسیب‌پذیری‌ها، ترافیک جعلی IGMP را به دستگاه‌های تحت تاثیر این آسیب‌پذیر‌ها ارسال می‌کنند. بهره‌برداری موفق از این آسیب‌پذیری‌ها موجب Memory exhaustion و در نتیجه بی‌ثباتی فرایندهای دیگر از جمله فرایندهای مسیریابی داخلی و خارجی خواهد شد که نتیجه آن کند شدن یا اختلال کامل در شبکه می‌باشد.
براساس بیانیه سیسکو در حال حاضر هیچ وصله‌ای برای این آسیب‌پذیری‌ها وجود ندارد و تیم سیسکو در حال تلاش برای ارائه وصله برای این دو آسیب‌پذیر هستند. با این حال سیسکو دو راهکار پیشنهادی برای جلوگیری از بهره‌برداری از این آسیب‌پذیری‌ها ارائه کرده است.

- راهکار اول محدودسازی نرخ ترافیکIGMP و تنظیم نرخ ترافیک IGMP به کمتر از متوسط نرخ فعلی است. این راه‌کار قطعی نبوده و فقط موجب افزایش زمان بهره‌برداری خواهد شد. این راهکار با وارد کردن دستور زیر در Configuration mode قابل پیاده‌سازی است.

RP/0/0/CPU0:router(config)# lpts pifib hardware police flow igmp rate

- راهکار دوم به‌روزرسانی interface access control list (ACL) یا ایجاد یک لیست جدید است به نوعی که از ترافیک ورودی DVMRP در سیستم جلوگیری کند. این راهکار با اجرای دستور زیر قابل پیاده‌سازی می‌باشد.

RP/0/0/CPU0:router(config)# ipv4 access-list deny igmp any any dvmrp

منابع:

[1] https://www.cbronline.com/news/hackers-are-attempting-to-cripple-cisco-networking-kit-via-new-0day
[2] https://www.tenable.com/blog/cve-2020-3566-cve-2020-3569-zero-day-vulnerabilities-in-cisco-ios-xr-s…

سه ‫آسیب‌پذیری با شناسه‌های "CVE-2020-9490"، "CVE-2020-11984" و "CVE-2020-11993"، در وب‌سرور آپاچی توسط Felix Wilhelm محقق امنیتی Google Project Zero کشف شد که دو مورد از آن‌ها دارای شدت بالا(Base Score 7.5) و یک مورد نیز دارای شدت بحرانی (Base Score 9.8) می‌باشد. در ادامه به بررسی هر یک از این آسیب‌پذیری‌ها پرداخته خواهد شد.
CVE-2020-9490: به گفته Felix Wilhelm، ماژول Apache’s mod_http2، از ویژگی خاصی پشتیبانی می‌کند که کلیه منابعی که پیش‌تر بر روی یک اتصال HTTP/2منتقل شده‌اند را نگه می‌دارد؛ همچنین کلاینت می‌تواند با ارسال این ویژگی رمزگذاری‌شده بر مبنای base64 در Cache-Digest header، از نگهداری غیرضروری منابع جلوگیری کند که از بین آسیب‌پذیری‌های مذکور، این آسیب‌پذیری با شدت بحرانی در ماژول HTTP/2 وجود دارد. این نقص تحت شرایط خاص، از طریق اجرای کد از راه دور یا حمله انکار سرویس مورد بهره‌برداری امنیتی قرار خواهد گرفت؛ گفتنی است که مهاجم می‌تواند با استفاده از Cache-Digest header دستکاری شده، باعث Crash در حافظه و انجام حمله انکار سرویس شود.
CVE-2020-11984: آسیب‌پذیری با شدت بالا یک نقص مربوط به سرریز بافر است که بر ماژول "mod_uwsgi" تأثیر گذاشته و می‌تواند منجر به اجرای کد از راه دور شود؛ این نقص به طور بالقوه به یک مهاجم اجازه می‌دهد داده‌های حساس را بسته به امتیازات مرتبط با یک برنامه در حال اجرا بر روی سرور، مشاهده، حذف و یا آن‌ها را تغییر دهد.
CVE-2020-11993: این آسیب‌پذیری تنها هنگامی که debugging در ماژول “mod_http2” فعال است، قابل بهره‌برداری می‌باشد. این آسیب‌پذیری منجر خواهد شد تا اطلاعات ورود بر روی یک کانکشن اشتباه ایجاد و منجر به تخریب حافظه شود.
اگر چه تاکنون گزارشی در خصوص بهره‌برداری از این آسیب‌پذیری‌ها منتشر نشده است، اما توصیه می‌شود کاربرانی که سایت‌هایشان از طریق وب‌سرور آپاچی اجرا می‌شود، هر چه سریع‌تر وب‌سرور خود را به نسخه 2.4.46 بروزرسانی کنند تا از گزند این سه آسیب‌پذیری ‌در امان باشند؛ همچنین لازم است بررسی شود اپلیکشن، فقط با مجوزهای مورد نیاز، پیکربندی شده است تا احتمال خطر کاهش یابد.

منابع:

[1] https://securityaffairs.co/wordpress/107499/security/apache-web-server-flaws.html
[2] https://thehackernews.com/2020/08/apache-webserver-security.html

Jenkins، یک ابزار متن‌باز است که برای توسعه، استقرار و اتوماسیون پروژه‌ها مورد استفاده قرار می‌گیرد. شرکت Jenkins در خصوص یک ‫آسیب‌پذیری بحرانی در «وب‌سرور Jetty» که می‌تواند منجر به memory corruption و همچنین افشای اطلاعات محرمانه شود، هشدار داد. این آسیب‌پذیری بحرانی با شناسه CVE-2019-17638 و شدت 9.4 شناخته می‌شود و بر نرم‌افزار Eclipse Jetty نسخه‌های 9.4.27.v20200227 تا 9.4.29.v20200521 اثر می‌گذارد.
Jenkins که از طریق یک رابط خط فرمان به نام Winstone از Jetty استفاده می‌کند، به عنوان سرور HTTP و servlet در هنگام استفاده از java -jar jenkins.war عمل می‌کند. بدین ترتیب Jenkins هنگام استفاده از هر یک از نصب کننده‌ها یا بسته‌ها اجرا می‌شود، اما هنگام استفاده از Servlet Container مانند Tomcat، اجرا نخواهد شد. این آسیب‌پذیری ممکن است به یک مهاجم بدون نیاز به احراز هویت امکان دسترسی به سرآیندهای مربوط به پاسخHTTP که ممکن است حاوی اطلاعات حساسی باشند، فراهم می‌کند. به نظر می‌رسد این نقض که بر Jetty و هسته Jenkins تأثیر می‌گذارد، در Jetty نسخه 9.4.27 نیز وجود داشته است که مکانیزمی برای کنترل سرآیندهای بزرگ پاسخ HTTP و جلوگیری از سرریز بافر به آن اضافه شده است.
برای رفع این مشکل، Jetty جهت تولید خطای HTTP 431، سرآیند پاسخ HTTP را دو بار به داخل بافر وارد می‌کند که این مسئله منجر به memory corruption و افشای اطلاعات خواهد شد. به دلیل این نوع انتشار دوگانه، دو thread می‌توانند همزمان یک بافر را از مخزن بدست آورند و باعث می‌شود یک درخواست، به پاسخ درخواست داده شده توسط thread دیگر دسترسی داشته باشد، که این پاسخ ممکن است شامل شناسه نشست‌ها، اعتبارنامه‌های احراز هویت و سایر اطلاعات حساس باشد.
هنگامی که thread اول قصد دارد از ByteBuffer برای نوشتن داده‌های پاسخ 1 استفاده کند، thread دوم، ByteBuffer را با داده‌های پاسخ پر می‌کند. سپس thread اول نوشتن بافر که اکنون حاوی داده‌های پاسخ2 است را جهت مشاهده پاسخ که می‌تواند حاوی داده‌های حساس متعلق به کلاینت دوم باشد، ادامه می‌دهد.
memory corruption این امکان را برای کلاینت فراهم می‌کند که بین نشست‌ها حرکت کند و از این طریق به حساب‌های کاربری دیگر دسترسی داشته باشد، زیرا کوکی‌های احراز هویت از پاسخ یک کاربر به یک کاربر دیگر ارسال شده است و کاربر A می‌تواند در جلسه کاربر B پرش کند.
این آسیب‌پذیری که در ماه گذشته در Jetty 9.4.30.v20200611 منتشر شده بود، وصله شد. Jenkins این نقص را در برنامه‌های خود در Jenkins 2.243 و Jenkins LTS 2.235.5 وصله کرده است. به کاربران Jenkins توصیه می‌شود به منظور کاهش نقض corruption در بافر، هر چه سریع‌تر نرم‌افزار خود را به آخرین نسخه به‌روزرسانی کنند.
منبع:

[1] https://amp.thehackernews.com/thn/2020/08/jenkins-server-vulnerability.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2019-17638