#‫سیسکو در هفته‌ی اول ماه مارس سال 2019 بیش از دو دوجین آسیب‌پذیری جدی را در سوئیچ‌های Nexus برطرف ساخته است. این آسیب‌پذیری‌ها در صورتی که مورد سوءاستفاده قرار بگیرند می‌توانند منجر به حملات انکار سرویس (DoS)، اجرای کد دلخواه یا افزایش امتیاز شوند.
توصیه‌نامه‌های جداگانه‌ای برای هر یک از این نقص‌ها متشر شده است که بسیاری از آن‌ها، نرم‌افزار NX-OS که سوئیچ‌های Nexus را روشن می‌کند و برخی دستگاه‌های دیگر سیسکو را تحت‌تأثیر قرار می‌دهد.
شکاف‌های امنیتی که با شدت «بالا» رتبه‌بندی شده‌اند، اجزایی همچون عامل Tetration Analytics، ویژگی LDAP، ویژگی تأیید امضای تصویر (Image Signature Verification)، رابط کاربری مدیریت حساب کاربری، رابط خط فرمان (CLI)، پیاده‌سازی پوسته‌ی Bash، پیاده‌سازی پروتکل FCoE NPV، اجزای سیستم‌فایل، پشته‌ی شبکه، اجزای Fabric Services، ویژگی NX-API و پیاده‌سازی 802.1X را تحت‌تأثیر قرار می‌دهند.
بسیاری از این نقص‌ها به مهاجمان داخلی مجاز اجازه می‌دهند کد دلخواه را در سطح ریشه اجرا کنند، تصاویر نرم‌افزاری مخرب را نصب نمایند، امتیازات را افزایش دهند، دسترسی خواندن و نوشتن به یک فایل پیکربندی مهم را به دست آورند یا از یک پوسته‌ی محدود در دستگاه فرار کنند.
تعداد کمی از این آسیب‌پذیری‌ها که می‌توانند از راه دور بدون احرازهویت مورد سوءاستفاده قرار گیرند، به مهاجمان اجازه می‌دهند منجر به یک وضعیت DoS در دستگاه‌های متأثر شوند. یکی از این نقص‌ها می‌تواند به صورت راه دور برای اجرای دستورات دلخواه با امتیازات ریشه با ارسال بسته‌های HTTP/HTTPS مخرب به رابط مدیریت سیستم متأثر، مورد سوءاستفاده قرار گیرد؛ اما مهاجم باید احراز هویت شود.
اکثر این آسیب‌پذیری‌ها توسط خود سیسکو کشف شده‌اند و به گفته‌ی این شرکت، تاکنون سوءاستفاده‌ی مخربی از این آسیب‌پذیری‌ها مشاهده نشده است.
سیسکو یک توصیه‌نامه‌ی امنیتی نیز منتشر کرده است که در آن، صاحبان دستگاه Nexus را مجبور می‌کند شبکه‌هایی را که در آن ویژگی PowerOn Auto Provisioning (POAP) مورد استفاده قرار گرفته است را ایمن سازند یا این ویژگی را غیرفعال کنند. ویژگی POAP به طور پیش‌فرض فعال است و بدین منظور طراحی شده است تا به سازمان‌ها کمک کند راه‌اندازی و پیکربندی اولیه‌ی سوئیچ‌های Nexus را به طور خودکار انجام دهند.
POAP یک اسکریپت پیکربندی را از اولین کارگزار DHCP برای پاسخ‌دهی می‌پذیرد و مکانیزمی برای ایجاد اعتماد با کارگزار DHCP وجود ندارد. مهاجمی که بتواند یک پاسخ DHCP ارسال کند، می‌تواند یک پیکربندی مخرب را برای دستگاه ارایه دهد که به مهاجم اجازه می‌دهد دستورات را در سطح دسترسی مدیریتی اجرا کند.
از آنجاییکه پیاده‌سازی اولیه‌ی POAP دارای گزینه‌ای برای غیرفعال‌سازی این ویژگی نیست، حال سیسکو تعدادی دستور CLI برای غیرفعال کردن POAP اضافه کرده است. به منظور غیرفعال‌کردن موقت POAP؛ حتی زمانی که سیستم پیکربندی نشده باشد، مشتریان می‌توانند از دستور CLI “system no poap” استفاده کنند. این خط دستوری تضمین می‌کند POAP طی بوت بعدی شروع به کار نمی‌کند؛ حتی اگر هیچ پیکربندی وجود نداشته باشد.
لیست کامل وصله‌هایی که سیسکو در هفته‌ی اول ماه مارس سال جاری منتشر ساخته است در وب‌‌سایت آن در دسترس است.

یک #‫آسیب‌پذیری بحرانی در مسیریاب‌های ویژه دفاتر کوچک #‫سیسکو (RV110W, RV130W,RV215W) و یک آسیب‌پذیری با درجه اهمیت بالا در محصولات ویدئوکنفرانس سیسکو وجود دارد که منجر به اجرای کد دلخواه می‌شوند. برای این محصولات به‌روزرسانی امنیتی منتشر شده است.

آسیب‌پذیری در مسیریاب‌های ویژه دفاتر کوچک
یک آسیب‌پذیری بحرانی در رابط تحت وب مسیریاب‌های سیسکو ویژه دفاتر کوچک وجود دارد که امکان اجرای کد دلخواه را توسط مهاجمِ راه دور، بدون نیاز به احراز هویت فراهم می‌کند. این آسیب‌پذیری، ناشی از اعتبارسنجی نامناسب داده‌های ورودی است. مهاجم می‌تواند با ارسال درخواست HTTP مخرب از این نقص سوء استفاده کند. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد دلخواه با دسترسی بالا روی سیستم‌عامل تجهیز شود.

شناسه آسیب‌پذیری: CVE-2019-1663
درجه اهمیت: بحرانی CVSS3 Base Score 9.8

تجهیزات آسیب‌پذیر عبارت اند از:

• RV110W Wireless-N VPN Firewall
• RV130W Wireless-N Multifunction VPN Router
• RV215W Wireless-N VPN Router

رابط تحت وب این تجهیزات از طریق شبکه محلی (LAN) و یا از طریق ویژگی مدیریت راه دور (remote management) قابل دسترسی است. البته ویژگی مدیریت راه دور به طور پیش‌فرض غیرفعال است.

راه حل
در نسخه‌های نرم‌افزاری زیر، این نقص برطرف شده است. همه نسخه‌های ماقبل، آسیب‌پذیر هستند:

• RV110W Wireless-N VPN Firewall: 1.2.2.1
• RV130W Wireless-N Multifunction VPN Router: 1.0.3.45
• RV215W Wireless-N VPN Router: 1.3.1.1

آسیب‌پذیری در محصولات ویدئوکنفرانس
آسیب‌پذیری با درجه اهمیت بالا در نرم‌افزار دسکتاپ Cisco Webex Meetings و Cisco Webex Productivity Tools نسخه ویندوز وجود دارد. این آسیب‌پذیری به مهاجم محلیِ احراز هویت نشده اجازه می‌دهد دستورات دلخواه را با دسترسی بالا (در چارچوب کاربر SYSTEM) اجرا کند.
هرچند برای بهره‌برداری از این نقص، مهاجم به دسترسی محلی نیاز دارد، اما در محیط‌های دارای Active Directory، می‌توان با استفاده از ابزارهای مدیریتی راهِ دور، از این نقص بهره‌برداری کرد.

شناسه: CVE-2019-1674
درجه اهمیت: بالا CVSS3 Base Score 7.8

راه حل
نرم‌افزارهای نامبرده را به نسخه به‌روز شده (مطابق جدول زیر) ارتقاء دهید.
 

منبع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-wmda-cmdinj

#‫آسیب‌پذیری جدید حیاتی با شماره CVE-2019-0630 بر روی نسخه ۲ سرویس‌دهنده #SMB مایکروسافت کشف شده است. این آسیب‌پذیری حیاتی امکان اجرای کد از راه دور و افزایش سطح دسترسی را به حمله کننده می‌دهد. این ضعف توسط مایکروسافت و در وب‌سایت رسمی این شرکت تایید شده است اما طریقه عملکرد اکسپلویت و محدوده خطر آن مورد تردید است چرا که برخی منابع از امکان اجرای حمله بدون نیاز به احراز هویت خبر داده اما برخی دیگر به لزوم احراز هویت به منظور بهره‌گیری اشاره می‌کنند. کد بهره‌گیری از این آسیب‌پذیری در حال حاضر بصورت عمومی در دسترس نیست، اما انتشار کد بهره‌گیری در آینده نزدیک دور از انتظار نیست.

اطلاعات فنی آسیب‌پذیری:

CVSS v3.0 Base Score: 8.8 HIGH
CVSS v2.0 Base Score: 9.0 HIGH
Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (V3 legend)

سیستم‌ های عامل‌ تحت تاثیر:

• windows_7:-:sp1
• windows_8.1
• windows_rt_8.1
• windows_10
• windows_10:1607
• windows_10:1703
• windows_10:1709
• windows_10:1803
• windows_10:1809
• windows_server_2008:sp2
• windows_server_2008:-:sp2:itanium
• windows_server_2008:r2:sp1
• windows_server_2008:r2:sp1:itanium
• windows_server_2012
• windows_server_2012:r2
• windows_server_2016
• windows_server_2016:1709
• windows_server_2016:1803
• windows_server_2019

در روزهای گذشته، پویش درگاه 9527 و تلاش برای نفوذ به آن در سطح کشور به شدت افزایش پیدا کرده است. این درگاه، مربوط به یک قابلیت مستند نشده دیباگ برخی دوربین‌های مدار بسته تحت IP است. بیش از ۲ هزار دستگاه در جهان در حال پویش و رصد این دستگاه‌ها هستند. در صورت استفاده از دوربین‌های مداربسته تحت IP، از دسترسی حفاظت نشده‌ی تجهیز به اینترنت جلوگیری کنید. این درگاه کاربرد ضروری نداشته و فقط برای عیب‌یابی محصول در زمان تولید فعال شده است. در حال حاضر بیش از ۷۵۰۰ دستگاه در معرض این ضعف امنیتی در سطح کشور شناسایی شده است.
 

یک شرکت امنیتی به نام "EdgeSpot"، چندین سند PDF را شناسایی کرده است که از #‫آسیب‌پذیری روز صفرم در کروم، برای جمع‌آوری اطلاعات در مورد کاربرانی که فایل‌ها را از طریق مرورگر گوگل باز می‌کنند، بهره می‌گیرند.
به‌گفته‌ی این شرکت، اسناد PDF با اطلاعات موجود در دستگاه‌های کاربر (مانند آدرس IP، نسخه‌ی سیستم‌عامل، نسخه‌ی کروم و مسیر فایل PDF در رایانه‌ی کاربر) با یک دایرکتوری از راه دور تماس برقرار می‌کند. سپس داده‌ها را از طریق درخواست HTTP POST به یک سرور راه دور بدون نیاز به تعامل کاربر ارسال می‌کنند.
این شرکت اعلام کرد که دو مجموعه‌ی متمایز از فایل‌های PDF مخرب را با استفاده از این اشکال کروم شناسایی کرده است. یک سری از فایل‌ها در ماه اکتبر سال 2017 و دومین مجموعه در سپتامبر سال 2018 منتشر شدند.
نخستین دسته از فایل‌های PDF مخرب، اطلاعات کاربر را به دامنه‌ی "readnotify.com" و دومین دسته، آن‌ها را به "zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net" ارسال می‌کنند.
هیچ کد مخربی در فایل‌های PDF کشف‌شده وجود ندارد. با این حال، جمع‌آوری داده‌ها در مورد کاربرانی که فایل PDF را باز می‌کنند، می‌تواند به مهاجمان در تنظیم حملات آینده و سوءاستفاده از آن‌ها کمک کند.
اولین دسته از فایل‌هایی که EdgeSpot شناسایی کرده است، به‌رغم سوءاستفاده از اشکال کروم، مخرب نیستند. آن‌ها با استفاده از سرویس ردیابی PDF به نام ReadNotify مونتاژ شده‌اند. این سرویس به کاربران این امکان را می‌دهد که کسانی را که فایل‌های PDF آن‌ها را مشاهده می‌کنند، ردیابی کنند (خدمتی که از سال 2010 در دسترس است).
هیچ اطلاعاتی در مورد مجموعه‌ی دوم از فایل‌های PDF و ماهیت آن‌ها وجود ندارد.
EdgeSpot اعلام کرد که پس از کشف اسناد در سال گذشته، به گوگل اطلاع داده است. تیم کروم این آسیب‌پذیری را تأیید و قول داد تا اواخر ماه آوریل آن را اصلاح کند.
تا زمانی که گوگل وصله‌ای را برای این آسیب‌پذیری منتشر کند، توصیه می‌شود که کاربران از نرم‌افزار‌های نسخه‌ی دسکتاپ مانند Acrobat Reader برای مشاهده‌ی فایل‌های PDF استفاده کنند یا زمانی که اسناد PDF را در کروم باز می‌کنند، اتصال اینترنت خود را غیرفعال نمایند.

بررسی اخیر صورت گرفته، منجر به شناسایی 469 دستگاه رادیوی Ubiquiti مورد نفوذ قرار گرفته و همچنین شمار زیادی از این دستگاه ها با نسخه‌های firmware آسیب‌پذیر شده است. این دستگاه‌ها نیاز به ایمن‌سازی و بروزرسانی فوری دارند.

دستگاه های Ubiquiti معمولا تجهیزات شبکه و رادیویی هستند که در بسترهای مخابراتی و زیرساخت شبکه استفاده می‌شوند.

نفوذ به دستگاه ها توسط آسیب پذیری ها و ضعف های متعددی صورت گرفته است که در firmware بروز نشده‌ی این تجهیزات وجود دارد. از این رو توصیه می شود علاوه بر بروزرسانی نسخه firmware دستگاه، اقدام به تغییر و تنظیم گذرواژه پیچیده شود و از ایمن بودن پیکر بندی اطمینان حاصل شود. علاوه بر این اکیدا توصیه می‌گردد دسترسی مدیریتی این‌گونه تجهیزات بر روی اینترنت مسدود گردد. احتمال باقی ماندن آلودگی در دستگاه‌های هک شده حتی پس از بروزرسانی وجود دارد. لذا لازم است از پاکسازی کامل سیستم‌ اطمینان حاصل شود.

آخرین نسخه firmware دستگاه های این شرکت در لینک زیر قابل دریافت هستند:

https://www.ui.com/download/

بر اساس آخرین بررسی‌ها، هنوز بیش از ۹۴ درصد روترهای #‫میکروتیک آسیب‌پذیر به CVE-2019-3924 (اینجا) در کشور بروزرسانی نشده اند.
استان تهران با بیش از ۶۴٪، بیشترین تعداد روترهای میکروتیک آسیب‌پذیر را دارد. پس از تهران، استان‌های فارس و اصفهان با حدود ۶٪ و ۵٪ در رتبه‌‌های بعدی قرار دارند.
 

اکیدا توصیه می گردد دارندگان این روترها، ضمن بروزرسانی سیستم عامل RouterOS، دسترسی به پورت ۸۲۹۱ (winbox) را بصورت عمومی بر بستر اینترنت مسدود نمایند.

بنابر گزارش شرکت امن پرداز (آنتی ویروس پادویش)، در روزهای گذشته شبکه‌های شرکت‌ها و سازمان‌های سراسر کشور، شاهد حجم بسیار بالایی از حملات هک و نفوذ به واسطه سرویس ریموت دسکتاپ و یا ابزارهای ریموت کلاینتی (مانند #AnyDesk و ابزارهای مشابه) بوده‌اند. لذا توصیه همیشگی در مسدود سازی یا محدودسازی سرویس‌های مدیریتی دسترسی از راه دور از جمله #RDP مجددا تکرار می‌گردد. ضروری است که از سوی مسئولین شبکه های سازمانها و شرکتها جهت جلوگیری از بروز اینگونه حملات اقداماتی پیشگیرانه نظیر تهیه پشتیبان به‌روز از اطلاعات حیاتی، غیرفعال کردن فوری دسترسی‌های مدیریتی راه دور و ... صورت پذیرد.
لینک هشدار شرکت امن پرداز:

https://www.amnpardaz.com/contents.php/fa/1144

آسیب‌پذیری حیاتی جدید در روترهای #‫میکروتیک و مشخصات سیستم عامل RouterOS پیدا شده است که به حمله کننده این اجازه را می‌دهد که با ارسال بسته های شبکه، یک ضعف افزایش سطح دسترسی را مورد حمله قرار دهد (CWE-269). با استفاده از این آسیب‌پذیری مهاجم می‌تواند به نوعی فایروال را دور بزند. شماره این آسیب‌پذیری CVE-2019-3924 بوده و حمله از طریق شبکه و به‌صورت راه دور قابل اجراست. با توجه به اینکه این حمله به سطح دسترسی خاصی نیاز نداشته و فقط با چند بسته تحت شبکه قابل بهره‌گیری است، ضروری است جهت رفع آسیب پذیری مورد نظر سیستم‌عامل روتر خود را به 6.42.12 (در نسخه long-term) یا 6.43.12 (در نسخه stable) ارتقا دهید.
توضیحات تکمیلی این آسیب‌پذیری به زودی پیوست می‌گردد.

جزییات فنی:

CVE-2019-3924
CWE-269
cpe:/a:mikrotik:routeros
CVSSvs Score: 7.3
Attack Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X

#‫مایکروسافت وصله‌ی ماه فوریه‌ی سال ۲۰۱۹ را منتشر کرد که شامل به‌روز‌رسانی‌های امنیتی برای 77 خطا، 20 آسیب‌پذیری بحرانی، 54 آسیب‌پذیری مهم و 3 آسیب‌پذیری با شدت متوسط است.
یکی از این به روزرسانی‌ها، مربوط به یک آسیب‌پذیری روز صفرم در اینترنت اکسپلورر است که توسط گوگل کشف شده و در حملات مورد سوءاستفاده قرار گرفته است.
این نقص که با شناسه‌ی "CVE-2019-0676" شناسایی می‌شود، نقص افشای اطلاعات است که مسیر راه‌اندازی اینترنت اکسپلورر را در حافظه‌ها بررسی می‌کند.
مهاجم می‌تواند این نقص را با فریب‌دادن قربانیان به بازدید از یک وب‌سایت مخرب و با استفاده از نسخه‌ی آسیب‌پذیر اینترنت اکسپلورر، مورد سوء‌استفاده قرار دهد. پس از آن، مهاجم می‌تواند وجود فایل در دیسک سخت قربانی را بررسی‌کند.
به‌گفته‌ی مایکروسافت، به‌روزرسانی امنیتی، این آسیب‌پذیری را با تغییر چگونگی کنترل اشیاء در اینترنت اکسپلورر، رفع می‌کند.
مایکروسافت اخیراً به کاربران خود توصیه کرده است که از اینترنت اکسپلورر استفاده نکنند. این مرورگر اینترنتی دیگر از قابلیت‌های امنیتی بالایی برخوردار نیست و نمی‌تواند از نفوذ هکرها و مجرمان سایبری و همچنین حملات فیشینگ و بدافزاری به رایانه‌ها و دستگاه‌های الکترونیکی محافظت کند. به عبارتی دیگر، اینترنت اکسپلورر از امنیت سایبری قابل قبولی برخوردار نیست و کاربران به منظور حفاظت از اطلاعات و حریم شخصی خود دیگر نباید از آن استفاده کنند.
این شرکت به کاربران ویندوز توصیه کرده است که این مرورگر را از حالت پیش‌فرض خارج کرده و در صورت امکان آن را لغو نصب کنند و به مرورگر جدید این شرکت یعنی مایکروسافت Edge مهاجرت نمایند.