روز چهارشنبه 7 آذرماه مراسم افتتاحیه ی نهمین دوره ی کنفرانس سالانه ی مراکز cert کشورهای اسلامی و چهارمین کنفرانس تخصصی حواث و آسیب پذیری های فضای تولید و تبادل اطلاعات (آپا 4) در شیراز به میزبانی مرکز ماهر و آپای دانشگاه شیراز برگزار گردید. این مراسم با سخنرانی آقای مهندس جهانگرد معاون محترم فناوری و نوآوری وزارت ارتباطات, بدرالصالح رییس CERT کشورهای اسلامی #(OIC-CERT) و آقای دکتر سجادی معاون محترم امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ایران به عنوان میزبان اجلاس OIC-CERT و رییس کنفرانس ادامه پیدا کرد.
 

کنفرانس سال ۲۰۱۸ مراکز cert کشورهای اسلامی با میزبانی مرکز ماهر و همکاری دبیرخانه دائمی OIC-CERT در مرکز تخصصی آپای دانشگاه شیراز آغاز به کار کرد. مراسم افتتاحیه آن چهارشنبه ۷ آبان‌ماه با حضور نمایندگان سرت کشورهای اسلامی و همزمان با برگزاری چهارمین کنفرانس تخصصی حوادث و آسیب پذیری های فضای تبادل اطلاعات (آپای ۴) و با سخنرانی مهندس نصرالله جهانگرد معاون فناوری و نوآوری وزیر ارتباطات و فناوری اطلاعات آغاز می‌شود.
طی این کنفرانس، روز دوشنبه برابر با 26 نوامبر 2018 نشست کمیته‌ی راهبری (Steering Committee) با حضور مسئولین و نمایندگان مراکز CERT‌ کشورهای اسلامی تشکیل و هفت کشور جمهوری اسلامی ایران، عمان، اندونزی، امارات متحده عربی، مصر، جمهوری آذربایجان و مالزی بعنوان اعضای اصلی (Board Member) انتخاب شده اند. همچنین در روز سه شنبه برابر با 27 نوامبر نشست عمومی برگزار و در ذیل آن ضمن تعیین محل دبیرخانه بصورت دایم در کشور مالزی، تعیین استراتژیهای همکاری بین اعضاء مورد بحث قرار گرفت و کشورهای عضو گزارشی از اقدامات سال 2018 بر اساس محورهای تکلیفی ارایه نمودند. در این نشست عمان به عنوان رئیس و اندونزی به عنوان معاون برای دو سال انتخاب شدند.
 

ر پی آغاز ثبت‌نام کارت سوخت بانکی در سامانه خدمات دولت همراه و انتشار اپلیکیشن مربوطه، نسخه‌های جعلی متعددی از این برنامه با تبلیغات گسترده در کانال‌های تلگرامی و سایر شبکه‌های اجتماعی توسط سودجویان منتشر شده اند . این اپلیکیشن‌ها امکان آلوده‌سازی تلفن همراه کاربر و انواع سوءاستفاده از اطلاعات وی را دارند. لذا توصیه می‌گردد متقاضیان محترم از دریافت و نصب اپلیکیشن خدمات دولت همراه از هرگونه منبع ناشناس جداً خودداری نموده و این برنامه را با نام «دولت همراه» تنها از منابع معرفی شده در درگاه ملی خدمات دولت همراه به نشانی https://www.mob.gov.ir دریافت و نصب نمایند. در ادامه نمونه هایی از این تبلیغات را مشاهده می‌کنید:
 

مایکروسافت، #‫آسیب‌پذیری‌های اجرای کد از راه دور متعددی را که ورد، اکسل و Windows Search را تحت تأثیر قرار می‌دهند، رفع کرد.
مایکروسافت ورد توسط دو اشکال فیزیکی حافظه (CVE-2018-8539 و CVE-2018-8573) تحت تأثیر قرار می‌گیرد. این اشکالات به مهاجمان راه دور اجازه می‌دهد تا فایل‌های مخرب ".doc" که امکان اجرای کد دلخواه را تحت امتیازات کاربر سیستم فراهم می‌کنند، تولید کنند.
این اشکالات که باعث می‌شوند تا مایکروسافت ورد در هنگام تلاش برای اداره‌ی اشیاء حافظه، درست کار نکند، می‌توانند از طریق ایمیل، حملات مبتنی بر وب، ارسال فایل مخرب توسط ایمیل یا میزبانی آن در سایتی که مهاجم آن را کنترل می‌کند، مورد سوءاستفاده قرار گیرد.
آسیب‌پذیری‌های مؤثر بر مایکروسافت اکسل (CVE-2018-8577 و CVE-2018-8574)، هر دو سرریز بافر هستند که درست مانند مسائل مربوط به مایکروسافت ورد اجازه می‌دهند تا مهاجمان بالقوه‌ی راه دور، کد دلخواه را در یک سیستم آسیب‌پذیر هدف اجرا کنند.
آسیب‌پذیری اجرای کد از راه دور در Windows Search (CVE-2018-8450) در کنترل نامناسب اشیاء حافظه توسط پلت‌فرم جستجوی میزکار شاخص‌بندی‌شده‌ی ویندوز، ایجاد می‌شود.
علاوه‌براین، این آسیب‌پذیری می‌تواند توسط مهاجمان راه دوری که پیام‌های مخرب را به سرویس جستجوی ویندوز ارسال می‌کنند، مورد سوءاستفاده قرار گیرد و آن را با استفاده از یک اتصال SMB به اجرا درآورند. این کار می‌تواند باعث اجرای کد دلخواه و کنترل دستگاه هدف شود.
به‌روزرسانی امنیتی مایکروسافت، این آسیب‌پذیری‌های RCE (اجرای کد از راه دور) را با اصلاح نحوه‌ی اداره‌ی اشیاء در حافظه، حذف اشکالات امنیتی حافظه و سرریز بافر رفع کرده است.
به‌گفته‌ی مایکروسافت، اگر کاربر فعلی با حقوق کاربری مدیر وارد سیستم شود، یک مهاجم می‌تواند کنترل سیستم آسیب‌دیده را در دست گیرد. مهاجم می‌تواند برنامه‌ها را نصب کند، داده‌ها را مشاهده، اصلاح و حذف کند یا حساب‌های جدیدی را با حقوق کامل کاربر ایجاد کند.
از آنجایی که حساب‌های مدیریتی به مهاجمان این امکان را می‌دهد که درصورت حمله‌ی موفقیت‌آمیز به سیستم، کنترل کامل آن را به‌دست آوردند، کاربران باید همیشه از ویندوز خود با حساب کاربری دارای امتیازات محدود استفاده کنند تا نقض‌های امنیتی بالقوه را کاهش دهند.

#‫آسیب‌پذیری چندگانه SQL injection در PostgreSQL کشف شده است که می‌تواند موجب اجرای کد دلخواه شود. این آسیب‌پذیری‌ها نتیجه عدم بررسی قواعد ورودی ایجاد شده توسط کاربر قبل از استفاده از آن در یک کوئیری SQL می‌باشد. این آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهند تا مجوز CREATE (یا مجوز Trigger در بعضی جداول) را برای سوءاستفاده از آسیب‌پذیری‌های قواعد ورودی در توابع pg_upgrade و pg_dump داشته باشند.
مجوز CREATE به طور خودکار به کاربران جدید در شمای عمومی داده می‌شود و این شما به صورت پیش‌فرض شمای مورد استفاده در این پایگاه داده است.
بهره‌برداری موفق از این آسیب‌پذیری‌ها می‌تواند به مهاجم اجازه دهد دستورات SQL دلخواهی را اجرا کند که می‌تواند به برنامه‌های کاربردی آسیب برساند، به داده‌ها دسترسی داشته باشد یا آنها را تغییر دهد و یا از آسیب‌پذیری‌های دیگری در پایگاه‌داده بهره‌برداری نماید.
نسخه‌های قبل از 11.6 و 10.6 برنامه PostgreSQL تحت‌تأثیر این آسیب‌پذیری‌ها قرار دارند.

توصیه‌ها
   • به‌روزرسانی ارائه شده توسط PostgreSQL را سریعاً نصب کنید.
   • قبل از اعمال وصله‌ها از عدم وجود تغییرات سیستمی غیر مجاز اطمینان حاصل کنید.
   • نظارت بر سیستم‌های تشخیص نفوذ برای هر نشانه‌ای از فعالیت‌های غیرعادی.
   • به غیر از موارد لازم، محدود کردن دسترسی از خارج شبکه‌ به محصولات آسیب‌دیده.

منابع:

1- PostgreSQL:
https://www.postgresql.org/message-id/15440-02d1468e94d63d76@postgresql.org
2- Redhat:
https://bugzilla.redhat.com/show_bug.cgi?id=1645937
3- CVE:
https://access.redhat.com/security/cve/cve-2018-16850

کمپانی #‫ادوبی در ماه نوامبر 2018 به روز رسانی های امنیتی مهمی برای محصولات Flash Player، Adobe Acrobat، Reader و Photoshop CC منتشر کرد. تمامی این به روز رسانی ها برای رفع آسیب پذیری از نوع Information Disclosure می باشد و هیچ گونه به روز رسانی برای آسیب پذیری های گزارش شده از نوع RCE در محصولات آن منتشر نشده است. این کمپانی به کاربران خود توصیه اکید کرده است که به روز رسانی های منتشر شده را حتما نصب کنند.

به روز رسانی برای محصول Adobe Flash Player که در سایت ادوبی با شماره APSB18-39 منتشر شده است برای آسیب پذیری information disclosure بر روی این محصول در پلتفورم های ویندوزی، لینوکسی، MacOS و ChromeOS می باشد. متاسفانه ادوبی توضیحات بیشتری در این باره نداده است که این آسیب پذیری چه اطلاعاتی از قربانی را برای نفوذگر افشا می کند. این آسیب پذیری در نسخه 31.0.0.148 این برنامه رفع شده است. در جدول زیر توضیحات نوع و شماره شناسایی این آسیب پذیری را مشاهده می فرمائید:
 

به روز رسانی برای محصولات Adobe Acrobat and Reader که در سایت ادوبی با شماره APSB18-40 منتشر شده است.

دانلود متن کامل

در 5 نوامبر 2018 بنیاد نرم افزاری #Apache به کاربران #Struts خود اعلام می کند که حتما از نسخه ی 1.3.3 کتابخانه Commons FileUpload استفاده کنند، چراکه نسخه های قبلی آن دارای آسیب پذیری Remote Code Execution می باشند. این آسیب پذیری به دلیل مشکل deserialization در Object های جاوا می باشد که این خود باعث می شود یک عملیات Exploiting موفقیت آمیز باعث نفوذ به سرور قربانی و نوشتن یک فایل یا کپی یک فایل بر روی سرور را برای نفوذگر عملی کند.
بر اساس توضیحات منتشر شده، تا هنگامی که object به صورت تنها مورد استفاده قرار بگیرد، امکان upload و اجرای کدهای باینری در یک فراخوان deserialization وجود خواهد داشت. تا هنگامی که از یک مکانیزم متفاوت در ساختار upload فایل در Struts استفاده نکنید، به صورت پیش فرض از کمپوننت Commons FileUpload استفاده می شود.
اولین بار هشداری که برای این آسیب پذیری منتشر شد در ماه مارس 2018 بود. از آن زمان تا کنون دو نسخه جدید Struts 2.3.x منتشر شده است. در نسخه منتشر شده ی 2.3.3 که در تاریخ 15 اکتبر منتشر شد همچنان آسیب پذیری موجود می باشد، چراکه نسخه ی 1.3.3 از کتابخانه Common FileUpload که آسیب پذیری در آن رفع شده است در نسخه ی Apache Struts 2.5.12 موجود می باشد.
همچنین آسیب پذیری که مربوط به 2 سال پیش با شماره شناسایی CVE-2016-1000031 منتشر شده بود درباره همین کتابخانه بوده که امکان حمله ی DoS را برای نفوذگر ممکن می کرده است. برای جلوگیری از خطر این آسیب پذیری، کاربر می تواند به صورت دستی کتابخانه معیوب را جایگزین نماید. برای این کار می توان نسخه قدیمی WEB-INF/lib را توسط فایل به روز رسانی شده ی JAR آن که در آدرس زیر بر روی سایت Apache منتشر شده است جایگزین نمود:

https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

راه دیگر رفع این آسیب پذیری این است که Apache Struts خود را به نسخه 2.5.12 ارتقا دهید.

کمپانی گوگل در ماه نوامبر 2018 به روز رسانی های مهم امنیتی سیستم عامل اندروید خود را برای تمامی کاربران و توسعه دهندگان این سیستم عامل منتشر کرد که شامل رفع #‫آسیب_پذیری های خطرناک RCE و Privilege Escalation می باشد. در اکتبر 2018 کمپانی Alphabet یک نسخه پیش نمایش از وصله های مربوط به آسیب پذیری های فوق را به صورت محرمانه از طریق OTA منتشر کرد که برای کاربران Google Pixel بود.
آسیب پذیری RCE با شماره شناسایی CVE-2018-9527 نسخه های اندروید Nougat تا نسخه Pie را تحت تاثیر خود قرار می دهد و یک آسیب پذیری RCE دیگر با شماره شناسایی CVE-2018-9531 تنها بر روی اندروید نسخه Nougat کشف شده است. این آسیب پذیری ها در بخش Media Framework قرار دارد و به نفوذگر این اجازه را می دهد که با داشتن سطح دسترسی بالا بتواند در چارچوب یک پروسه، کدهای مخرب خود را بر روی سیستم قربانی اجرا کند. همچنین دیگر آسیب پذیری ها با شماره شناسایی CVE-2018-9536 و CVE-2018-9537 که از نوع Privilege Escalation می باشند بر روی نسخه اندروید Nougat گزارش شده اند.
6 آسیب پذیری سطح بالا دیگر گزارش شده اند که پس از Exploit موفقیت آمیز آنها، نفوذگر می تواند اطلاعات خاصی از سیستم عامل قربانی را بدست بیاورد. این آسیب پذیری ها به صورت Remote بوده و اطلاعاتی از سیستم عامل و application ها که بر روی گوشی قربانی نصب می باشد را در اختیار نفوذگر قرار می دهد. برخی از این آسیب پذیری ها که از نوع leak information می باشند بر روی نسخه های Nougat و Pie قرار دارد و برخی دیگر تنها بر روی نسخه ی نهایی این سیستم عامل گزارش شده است.
همچنین کمپانی گوگل 14 آسیب پذیری امنیتی را بر روی کمپوننت های Qualcomm گزارش کرده است. آسیب پذیری شماره CVE-2017-18317 که بخش Trusted Execution Environment را تحت تاثیر خود قرار می دهد باعث دور زدن محدودیت های SIM Lock و SIM Kill می شود. آسیب پذیری Buffer Overflow بر روی کمپوننت Video آن قرار دارد که با شماره شناسایی CVE-2018-5912 معرفی شده است. همچنین آسیب پذیری Buffer Overflow بر روی بخش شناسایی fingerprint که با شماره شناسایی CVE-2018-11264 معرفی شده است بر روی کمپوننت های بیومتریک Qualcomm chipsets قرار دارد.

محققان، #‫آسیب‌پذیری وصله‌نشده‌ای را در ویژگی "Online Video" مایکروسافت کشف کرده‌اند که به مهاجمان، امکان ارسال فایل‌های مخرب به سیستم قربانی را می‌دهد.
این اشکال هنگامی رخ می‌دهد که کاربر، یک ویدئو را از طریق ویژگی "Video Online" در یک سند #Word تعبیه کند. این آسیب‌پذیری در فایل ".xml" وجود دارد که در آن، پارامتر "embeddedHtml" به یک کد iframe در یوتیوب اشاره دارد. هکرها می‌توانند کد iframe فعلی یوتیوب را با HTML/JavaScript مخرب که توسط اینترنت اکسپلورر ارائه می شود، جایگزین کنند.
به‌گفته‌ی محققان، تغییر گذرواژه‌ی ویدئوی یوتیوب جاسازی‌شده در یک سند Word، برای مهاجمان بسیار آسان است. آن‌ها فقط باید فایل "document.xml" را ویرایش کنند و لینک ویدئو را با بار مخرب جایگزین کنند. محققان گمان می‌کنند که مهاجمان ممکن است از این تکنیک برای حملات فیشینگ استفاده کنند، زیرا سند، ویدئوی جاسازی‌شده با لینک به YouTube را نشان می‌دهد، در حالی که ممکن است یک کد مخفی HTML/JavaScript در پس‌زمینه اجرا شود و منجر به اجرای کد بیشتر شود.
هکرها برای استفاده از این حمله، یک لینک ویدئو را داخل سند Word جاسازی کرده و آن را با استفاده از ایمیل فیشینگ برای قربانی ارسال و سپس کاربران را به بازکردن فایل Word ترغیب می‌کنند.
با این ترفند، کاربران هدف ممکن است هیچ چیز بدبینانه‌ای را مشاهده نکنند، زیرا بازکردن سند دارای ویدئوی جاسازی‌شده، هیچ اخطاری ایجاد نمی‌کند.
این اشکال بر مایکروسافت آفیس 2016 و تمام نسخه‌های قبلی دارای ویژگی "Video Online" تأثیر می‌گذارد.
محققان سه ماه پیش این آسیب‌پذیری را به مایکروسافت گزارش کردند اما به‌نظر می‌رسد مایکروسافت قصد ندارد این مشکل را حل کند و معتقد است نرم‌افزار Word، تفسیر HTML را به‌درستی انجام می‌دهد.
به مدیران شرکت‌ها توصیه می‌شود سندهای Word دارای برچسب "embeddedHtml" در فایل "document.xml" اسناد Word را مسدود کنند و پیوست‌های ایمیل ناخواسته را از منابع ناشناخته یا مشکوک باز نکنند.

پیرو اطلاعیه قبلی درخصوص وجود آسیب‌پذیری سرویس #SMB (درگاه ۴۴۵) در سطح کشور، بررسی‌های انجام شده نشان­ دهنده افزایش سطح حملات روی این درگاه است. این درگاه به صورت پیش‌فرض در پروتکل SMB مورد استفاده قرار می‌گیرد که در گذشته مورد هجوم حملات بسیاری بوده است. آنچه در این ارتباط مورد توجه است، افزایش حملات در سطح کشور از مبدا داخل ایران است که می‌تواند گویای افزایش آلودگی در کشور باشد. از این رو لازم است تا پاکسازی سیستم‌های آلوده داخلی مورد توجه قرار گیرد.خلاصه‌ای از وضعیت حملات ثبت شده از ابتدای مهر به شرح زیر است:
 

بر اساس گزارش منتشر شده از #‫کسپرسکی اخیرا گروه shadow broker ابزاری با نام DarkPulsar را ارائه کرده‌اند که با بهره‌گیری از این آسیب‌پذیری، اجازه کنترل راه‌دور را برای مهاجم فراهم می‌کند. علاوه بر آن دو چارچوب پیچیده دیگر با نام‌های DanderSpritz و FuzzBunch نیز توسط این گروه در سال 2017 ارائه شده است که دارای قابلیت تحلیل میزبان قربانی، آسیب‌پذیری‌های قابل اکسپلویت و سایر مولفه‌های مانیتور میزبان قربانی هستند.

جهت دریافت متن کامل کلیک نمایید.