یک آسیب‌پذیری با شناسه CVE-2024-4192 و شدت بالا (7.8) در Delta Electronics CNCSoft-G2 کشف شده است. طبق بررسی‌های صورت گرفته، CNCSoft-G2 فاقد اعتبارسنجی مناسب طول داده‌های ارائه شده توسط کاربر، قبل از کپی کردن آن در بافر مبتنی بر پشته با طول ثابت است. یک مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند کد دلخواه خود را اجرا کند.
بر اساس بردار حمله این آسیب‌پذیری‌  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H بهره‌برداری از آن‌ از طریق شبکه محلی امکان‌پذیر است (AV:L) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست (AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N) و به تعامل کاربر نیاز دارند  (UL:R)، بهره‌برداری از آسیب‌پذیری‌های مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).

محصولات تحت تأثیر
این آسیب‌پذیری‌ نسخه‌های قبل از نسخه   CNCSoft-G2 v2.1.0.4را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود دستگاه مورد استفاده خود را اسرع وقت به نسخه CNCSoft-G2 v2.1.0.4 یا بالاتر ارتقاء دهند.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-4192
[2] https://www.cisa.gov/news-events/ics-advisories/icsa-24-121-01

به تازگی دو آسیب‌پذیری با شناسه‌های CVE-2024-4337 و CVE-2024-4336 با شدت بالا (7.6) در Adive Framework کشف شده است. در این نقص امنیتی، Adive Framework ورودی‌های وارد شده توسط کاربر را به درستی رمزگذاری نمی‌کند، که منجر به آسیب‌پذیری Cross-Site Scripting (XSS) از طریق /adive/admin/tables/add در چندین پارامتر می‌شود. یک مهاجم با بهره‌برداری از این نقص می‌تواند جزئیات session یک کاربر احراز هویت شده را بازیابی کند.
بر اساس بردار حمله این آسیب‌پذیری‌  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N) و به تعامل کاربر نیاز دارند (UL:R)، بهره‌برداری از آسیب‌پذیری‌های مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S: U) و یک ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرد (C:H/I:L/A:L).

محصولات تحت تأثیر
این آسیب‌پذیری نسخه Adive Framework 2.0.8 را تحت تأثیر قرار می‌دهد.

منبع خبر:

https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-adive-framework

یک آسیب‌پذیری با شناسه CVE-2024-27322 و شدت بالا (8.8)  در زبان برنامه نویسی R کشف و شناسایی شده است. این نقص یک deserializing untrusted data می‌باشد و یک مهاجم با بهره‌برداری از این نقص و با کمک یک فایل دستکاری شده RDS (R Data Serialization) یا یک package خاص، می‌تواند هر کدی را در سیستم کاربر که از این package استفاده می‌کند، اجرا کند.
بر اساس بردار حمله این آسیب‌پذیری‌  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی کم نیاز است (PR: N) و به تعامل کاربر نیاز دارند (UL:R)، بهره‌برداری از آسیب‌پذیری‌های مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S: U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).

محصولات تحت تأثیر
این آسیب‌پذیری‌ از نسخه 1.4.0 تا قبل از نسخه 4.4.0 این زبان برنامه نویسی را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود نسخه خود را اسرع وقت به 4.4.0 یا بالاتر ارتقا دهند.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-27322

آسیب‌پذیری با شناسه‌ CVE-2024-33633 و شدت بالا (7.1) در افزونه Elementor Pro و در بخش Piotnet Addons کشف شده است. این آسیب‌پذیری به‌دلیل خنثی‌سازی نامناسب پارامتر ورودی حین ساخت صفحات وب، کد‌نویسی بین‌سایتی را امکان‌پذیر می‌کند که در نهایت مهاجم با استفاده از آن قادر خواهد بود نقص امنیتی Reflected XSS را اجرایی کند. براساس این حمله، مهاجم امکان تزریق کد مخرب در حین تبلیغات، تغییر مسیر (redirect) و دیگر تکه کدهای HTML در سامانه را دارد که با مشاهده سایت توسط کاربران قابل اجرا خواهند بود.
بر اساس بردار حمله این آسیب‌پذیری‌ (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L) بهره‌برداری از این آسیب‌پذیری‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N). سوء‌استفاده از آن نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، و به تعامل با کاربر نیاز دارد(UI:R). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار است (S:C). هر سه ضلع امنیت با شدت کم تاثیر قرار می‌گیرند. (C:L/I:L/A:L)
 

یک آسیب‌پذیری با شناسه CVE-2024-1895 و شدت بالا (7.5) در افزونه The Event Monster وردپرس شناسایی شده است. این نقص امنیتی یک PHP Object Injection می‌باشد که به یک مهاجم احرازهویت شده با دسترسی بالا امکان حذف و بازیابی اطلاعات حساس و همچنین اجرای کد دلخواه را می‌دهد.
بر اساس بردار حمله این آسیب‌پذیری‌  CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ بوده و به‌راحتی قابل تکرار نیست و  به شرایط خاصی  نیاز  است(AC:H)، برای انجام حمله به حساب کاربری با سطح دسترسی کم نیاز است (PR: L) و به تعامل کاربر نیاز ندارند (UL:N)، بهره‌برداری از آسیب‌پذیری‌های مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).

محصولات تحت تأثیر
نسخه‌ 7.1.17 افزونه Piotnet Addons For Elementor Pro تحت‌ تاثیر نقص امنیتی CVE-2024-33633 قرار دارد.

آسیب‌پذیری CVE-2024-1895 نسخه 1.3.4 و تمام نسخه‌های پیشین افزونه The Event Monster را تحت تأثیر قرار می‌دهد.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-33633
[2] https://patchstack.com/database/vulnerability/piotnet-addons-for-elementor-pro/wordpress-piotnet-ad…

[3] https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/event-monster/event-monste…

براساس گزارشی که مؤسسه‌ی امنیتی Sekoia منتشر کرده است، میلیون‌ها دستگاه در سراسر دنیا در برابر بدافزار PlugX USB آسیب‌پذیر هستند. بیش‌ از ۸۰ درصد تمامی دستگاه‌های آلوده‌شده به این بدافزار، مربوط‌ به ۱۵ کشور بوده‌اند که در بین آن‌ها، نیجریه، هند، چین، ایران، اندونزی، بریتانیا، عراق و آمریکا به‌ ترتیب در رتبه‌های اول تا هفتم قرار دارند. این بدافزار خطرناک که درمجموع کامپیوترهای ۱۷۰ کشور را آلوده کرده است، به راحتی از طریق دستگاه‌های ذخیره‌سازی USB (فلش) بین سیستم‌ها منتقل می شود.

بدافزار PlugX حداقل از سال ۲۰۰۸ منتشر شده و بیشتر برای جاسوسی و دسترسی به سیستم‌ها از راه دور کاربرد داشته است. حتی در برهه‌هایی زمانی از PlugX برای حمله به دولت‌ها و سازمان‌های سیاسی در آسیا و سپس غرب استفاده شد. محققان باور دارند که کد منبع PlugX در سال ۲۰۱۵ فاش شده است.

در حال حاضر راهکار مشخصی جهت مقابله‌ با این بدافزار وجود ندارد اما به کاربران اکیداً توصیه می‌شود که از اتصال دستگاه‌های USB ناشناخته به رایانه خود جلوگیری کنید.

یک آسیب‌پذیری با شناسه CVE-2024-32880 و شدت 9.1 (بالا) در Pyload کشف شده است، این محصول یک نرم‌افزار مدیریت دانلود منبع باز می‌باشد که به زبان پایتون نوشته شده است. در این نقص امنیتی، مهاجم احراز هویت شده می‌تواند پوشه دانلود را تغییر داده و یک الگوی دستکاری شده را در فایل مشخص شده آپلود کند که این امر منجر به اجرای کد از راه دور می‌شود. بر اساس بردار حمله این آسیب‌پذیری، CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H : بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، بهره‌برداری از این آسیب‌پذیری نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی بالایی می‌باشد (PR:H) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C)،و در بدترین شرایط هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).

محصولات تحت تأثیر
تمام نسخه‌های قبل از 0.5 تحت تاثیر این آسیب‌پذیری قرار می‌گیرند.

منابع خبر:

[1] https://github.com/pyload/pyload/security/advisories/GHSA-3f7w-p8vr-4v5f
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-32880

یک آسیب‌پذیری با شناسه CVE-2024-25048 و شدت 7.5 (بالا) در محصولات IBM MQ کشف شده است که به دلیل بررسی نامناسب مرز داده‌ها (bound)، نسبت به سرریز بافر مبتنی بر پشته، آسیب‌پذیر است و مهاجم احراز هویت شده از راه دور می‌تواند یک بافر را سرریز کند و کد مخرب خود را در سیستم قربانی اجرا کند، یا باعث از کار افتادن سرور شود. براساس بردار حمله این آسیب‌پذیری، CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، پیچیدگی حمله بالا می‌باشد (AC:H)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین می‌باشد (PR:L) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C) و در بدترین شرایط (قربانی شدن کاربری با سطح دسترسی ادمین) هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).
 

آسیب‌پذیری دیگری با شناسه‌ CVE-2024-25050 و شدت بالا (8.4) در محصول IBM i کشف شده است که به موجب آن امکان به ‌دست آوردن امتیاز بالا توسط کاربر در دستورات سیستمی وجود دارد، این امر با فراخوانی دستور سیستمی یک کتابخانه غیرمجاز در زیرساخت شبکه و کامپایلر امکان‌پذیر است.
زیرساخت کامپایلر و شبکه‌ای IBM i می‌تواند به یک کاربر محلی اجازه دهد تا به‌دلیل فراخوانی کتابخانه غیرمجاز، امتیاز بالاتری را کسب کند.
بر اساس بردار حمله این آسیب‌پذیری‌ (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) بهره‌برداری از این آسیب‌پذیری‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر نیست (AV:L). سوء‌استفاده از آن نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، و به تعامل با کاربر نیاز ندارد(UI:N). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U). هر سه ضلع امنیت با شدت زیاد تاثیر قرار می‌گیرند. (C:H/I:H/A:H)

محصولات تحت تأثیر
نسخه‌های زیر تحت تاثیر این آسیب‌پذیری CVE-2024-25048 قرار دارند:

• IBM MQ Appliance 9.3 LTS
• IBM MQ Appliance 9.3 CD

آسیب‌پذیری CVE-2024-25050 محصولات زیر را تحت تاثیر قرار می‌دهد:

• نسخه‌ 7.2 محصول IBM i
• نسخه‌ 7.3 محصول IBM i
• نسخه‌ 7.4 محصول IBM i
• نسخه‌ 7.5 محصول IBM i

توصیه امنیتی
به کاربران توصیه می‌شود که در اسرع وقت نسخه IBM MQ Appliance 9.3 LTS  را به  IBM MQ Appliance 9.3.0.17 و نسخه  IBM MQ Appliance 9.3 CD را به IBM MQ Appliance 9.3.5 Continuous Delivery  را ارتقاء دهند.

در خصوص آسیب‌پذیری CVE-2024-25050 موارد زیر توصیه می‌شود:

1.    این نقص امنیتی با اعمال PTFs به محصول IBM i قابل رفع می‌باشد و نسخه‌های 7.2 7.3 7.4 7.5 وصله خواهند ‌شد.
2.    IBM توصیه می‌کند تمام کاربرانی که از نسخه‌های پشتیبانی‌نشده محصولات تحت‌تاثیر نقص امنیتی مذکور استفاده می‌کنند، محصول خود را به نسخه تحت‌پشتیبانی و وصله‌شده به‌روزرسانی کنند.
3.    لینک دانلود نسخه وصله‌شده هر نسخه از محصول از طریق منبع شماره 4 در انتهای گزارش قابل دسترسی می‌باشد.

 منابع خبر: 

[1]https://www.ibm.com/support/pages/node/7149481
[2]https://nvd.nist.gov/vuln/detail/CVE-2024-25048

[3] https://nvd.nist.gov/vuln/detail/CVE-2024-25050
[4] https://www.ibm.com/support/pages/node/7149672

آسیب‌پذیری با شناسه CVE-2024-20313 و شدت 7.4 (بالا) در نرم‌افزار Cisco IOS XE کشف شده است که به مهاجم احراز هویت نشده اجازه می‌دهد تا دستگاه آسیب‌دیده را به طور غیرمنتظره بارگیری مجدد کند و منجر به حمله انکار سرویس (DoS) شود. این آسیب‌پذیری به دلیل اعتبارسنجی نادرست به روزرسانی‌هایOSPF است که توسط یک دستگاه پردازش می‌شوند و در نتیجه آن، مهاجم می‌تواند با ارسال یک به روزرسانیOSPF نادرست به دستگاه، از این آسیب‌پذیری بهره‌برداری کند. بر اساس بردار حمله این آسیب‌پذیری VSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H: بهره‌برداری از آن نیاز به مجاورت شبکه دارد. باید از همان شبکه فیزیکی یا منطقی انجام شود.( AV:A)، بهره‌برداری از این آسیب‌پذیری نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C) و دو ضلع از سه ضلع امنیت با شدت بسیار زیادی تحت تأثیر قرار می‌گیرند (C:N/I:N/A:H).

محصولات تحت تأثیر
این آسیب‌پذیری بر دستگاه‌هایی که نسخه آسیب‌پذیر از نرم‌افزار (Cisco IOS XE) را اجرا کنند و در آنها ویژگی OSPF با گزینه distribute link-state فعال شده باشد، تأثیر می‌گذارد.

توصیه‌های امنیتی
برای تعیین اینکه آیا در دستگاهی ویژگی OSPF با گزینه distribute link-state فعال شده است یا خیر، وارد دستگاه شوید و از دستور show running-config | include ospf|distribute link-state CLI استفاده کنید. اگر router ospf <PID> and distribute link-state نمایش داده شود، دستگاه تحت تاثیر این آسیب‌پذیری قرار می‌گیرد. همانند مثال زیر:

Router# show running-config | include ospf|distribute link-state
router ospf 1
 distribute link-state

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-20313
[2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-ospf-d…

یک آسیب‌پذیری با شناسه CVE-2024-4127 و شدت بالا (8.8) در روتر Tenda W15E شناسایی شده است. نقص امنیتی مذکور، تابع guestWifiRuleRefresh را تحت‌تأثیر قرار می‌دهد و با بهره‌برداری از آن، مهاجم می‌تواند از راه دور با دستکاری آرگمان qosGuestDownstream منجر به سرریز بافر مبتنی بر پشته(stack-based buffer overflow) می‌شود.
بر اساس بردار حمله این آسیب‌پذیری‌  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی کم نیاز است (PR: L) و به تعامل کاربر نیاز ندارند (UL:N)، بهره‌برداری از آسیب‌پذیری‌های مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S: U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).

محصولات تحت تأثیر
این آسیب‌پذیری‌ firmware نسخه‌  V15.11.0.14 روتر Tenda W15E را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود، در اسرع وقت firmware  روتر خود را به آخرین نسخه به‌روزرسانی کنند.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-4127

محققان بدافزار جدیدی به نام Brokewell  کشف کرده‌اند که دستگاه‌های اندرویدی را مورد هدف قرار می‌دهد و می‌تواند تمام رویدادهای دستگاه، از لمس و اطلاعات نمایش داده‌شده تا ورودی متن و برنامه‌هایی را که کاربر راه‌اندازی می‌کند را ثبت کند. طبق بررسی‌های صورت گرفته بر روی دستگاه‌های آلوده شده به بدافزار Brokewell، این بدافزار از طریق یک به‌روزرسانی جعلی Google Chrome که هنگام استفاده از مرورگر وب نشان داده می‌شود، دستگاه قربانی را آلوده می‌کند.
قابلیت اصلی که این بدافزار جدید را متمایز می‌کند، سرقت داده‌ها و ارائه کنترل از راه دور به مهاجمان است. همچنین این بدافزار دارای قابلیت‌های دیگری مانند ردیابی موقعیت مکانی، ضبط صدا، جمع‌آوری اطلاعات سخت‌افزاری و نرم‌افزاری دستگاه و شنود کوکی‌های کاربر پس از ورود کاربر به وب‌سایت‌های قانونی نیز دارد.
قابل ذکر است که دستگاه آلوده شده توسط این بدافزار به طور کامل می‌تواند دراختیار مهاجم باشد. قابلیت کنترل از راه دور Brokewell  به مهاجم این اختیار را می‌دهد تا به موارد زیر دسترسی کامل داشته باشد:
1)    به مهاجم اجازه می‌دهد تا صفحه دستگاه را در هنگام استفاده بلادرنگ ببیند.
2)    حرکات لمسی را از راه دور در دستگاه آلوده اجرا کند.
3)    فشردن دکمه‌های فیزیکی مانند Back، Home و Recents را شبیه‌سازی کند.
4)    روشنایی صفحه و میزان صدا را به طور کامل کنترل کند.
 

توصیه‌های امنیتی

به کاربران برای جلوگیری از آلوده شدن به این بدافزار پیشنهاد می‌شود از دانلود برنامه‌ها یا به‌روزرسانی‌های برنامه خارج از Google Play خودداری کنند و مطمئن شوند که Play Protect همواره در دستگاه‌شان فعال است.

منبع خبر:

https://www.bleepingcomputer.com/news/security/new-brokewell-malware-takes-over-android-devices-ste…