کشف چندین آسیب‌پذیری در FireFox‌ و ThunderBird

تاریخ ایجاد

محققان چندین آسیب‌پذیری با شدت‌های مختلف را در مرورگرهای Firefox و Thunderbird کشف کرده‌اند که ممکن است منجر به اجرای کد مخرب، افشای اطلاعات و حملات مختلف شوند. این آسیب‌پذیری‌ها که شامل نقص‌های مرتبط با مدیریت حافظه، پردازش رویدادهای داخلی مرورگر، و مشکلاتی در مکانیزم‌های امنیتی مرورگر می‌شوند، تهدیداتی جدی برای کاربران این برنامه‌ها به همراه دارند.
جزئیات هریک آسیب‌پذیری‌ها به شرح ذیل است:

آسیب‌پذیری با شناسه CVE-2024-8381 با شدت بحرانی و امتیاز CVSS 9.8، زمانی رخ می‌دهد که مرورگر برای یافتن یک ویژگی خاص در یک شیء (object) دچار نوعی خطا به نام Type Confusion می‌شود. این نقص می‌تواند به مهاجم این امکان را بدهد که کنترل سیستم را در دست گرفته و کد مخربی را اجرا کند.

آسیب‌پذیری با شناسه CVE-2024-8382 با شدت بالا و امتیاز CVSS 8.8 از افشای رابط‌های داخلی رویداد مرورگر به محتوای وب ناشی می‌شود. در این نقص، برخی از رویدادهای داخلی که نباید توسط محتوای وب قابل مشاهده باشند، در معرض دسترسی قرار می‌گیرند. به عنوان مثال، اگر کاربر ابزارهای توسعه‌دهنده را باز کند، این رویداد توسط یک اسکریپت مخرب قابل تشخیص می‌شود. اگرچه این به طور مستقیم به مهاجم اجازه اجرای کد مخرب نمی‌دهد، اما اطلاعاتی را درباره فعالیت‌های کاربر فاش می‌کند. مهاجم می‌تواند از این اطلاعات برای انجام حملات بعدی مانند فیشینگ یا دستکاری محتوای صفحه استفاده کند.

آسیب‌پذیری با شناسه CVE-2024-8383 و شدت بالا و امتیاز CVSS 7.5 زمانی رخ میدهد که علی ‌رغم اینکه مرورگر باید قبل از باز‌کردن یک برنامه جدید برای مدیریت برخی لینک‌های خاص (مثل لینک‌های Usenet) از کاربر تأیید بگیرد، هیچ تاییدیه‌ای از کاربر درخواست نمی‌شود. بنابراین، اگر مهاجم یک لینک خاص را به کاربر بفرستد و کاربر روی آن کلیک کند، برنامه‌ای که روی سیستم نصب شده ‌است بدون اطلاع کاربر اجرا می‌شود که همین مسئله می‌تواند به نصب بدافزارها یا دسترسی غیرمجاز به داده‌های سیستم منجر شود.
آسیب‌پذیری با شناسه CVE-2024-8384 و شدت بحرانی و امتیاز CVSS 9.8 زمانی رخ می‌دهد که جمع‌آوری زباله (Garbage Collector) در جاوا اسکریپت، که مسئول آزاد کردن حافظه‌های بلااستفاده است، به درستی عمل نمی‌کند. در شرایط کمبود منابع حافظه (Out-Of-Memory یا OOM)، اشیائی که به حافظه‌های مختلف سیستم مرتبط هستند، به درستی دسته‌بندی نمی‌شوند و تخصیص و مدیریت حافظه دچار اشتباه می‌شود. خطر این نقص زمانی بیشتر می‌شود که اشیای مربوط به یک محدوده امنیتی (compartment) به اشتباه در محدوده‌ای دیگر قرار بگیرند. اگر مهاجم بتواند از این نقص بهره‌برداری کند، می‌تواند با دسترسی به داده‌های حساس، حافظه سیستم را تغییر‌ داده و در نهایت کد مخرب را اجرا کند.

آسیب‌پذیری با شناسه CVE-2024-8385 با شدت CVSS 9.8 مربوط به تفاوت در مدیریت StructFields و ArrayTypes در WebAssembly است. WebAssembly یک فناوری است که به مرورگرها امکان اجرای کدهای باینری با کارایی بالا را می‌دهد. در این آسیب‌پذیری، یک نقص در نحوه پردازش داده‌ها در WebAssembly وجود دارد. مهاجم می‌تواند از این نقص استفاده کند تا کدهایی را با دسترسی‌های بالاتر از آنچه که باید باشند، اجرا کند. این کدهای مخرب می‌توانند باعث اجرای عملیات‌های غیرمجاز و در نهایت به خطر انداختن سیستم شوند.

آسیب‌پذیری با شناسه CVE-2024-8386 و شدت CVSS 6.1 به یک سایت مخرب با مجوز باز کردن پنجره‌های popUp اجازه می‌دهد با باز کردن پنجره‌های popUp یا نمایش عناصر خاص (مانند فهرست‌های کشویی) در بالای محتوای یک سایت دیگر، کاربر را فریب دهد که روی چیزی کلیک کند که به نظر او بخشی از سایت مورد اعتمادش است. به عنوان مثال، کاربر ممکن است فکر کند که روی دکمه‌ای برای ثبت اطلاعات شخصی خود کلیک می‌کند، در حالی که در واقع اطلاعات او به سایت مخرب ارسال می‌شوند.

آسیب‌‌‌پذیری با شناسه CVE-2024-8388 و شدت CVSS 5.3 در نسخه‌های اندروید Firefox رخ داده‌ است و به نحوه‌ی نمایش اعلان‌های ورود به حالت تمام‌صفحه (Fullscreen) مربوط می‌شود. به‌طور معمول، هنگامی که یک وب‌سایت تلاش می‌کند مرورگر را به حالت تمام‌صفحه ببرد، مرورگر موظف است اعلان واضحی به کاربر نمایش دهد تا او از این تغییر وضعیت آگاه شود. این اعلان در راستای حفظ امنیت کاربر طراحی شده و مانع از بروز حملات فیشینگ یا نمایش صفحات جعلی می‌شود. اما نقص موجود در این فرآیند، به این صورت است که اگر همزمان با این اعلان، پنجره‌ها یا پنل‌های دیگری نیز نمایش داده شوند، اعلان تمام‌صفحه ممکن است از دید کاربر پنهان بماند یا به‌درستی نمایش داده نشود. این اشتباه به مهاجمان فرصت می‌دهد تا با استفاده از حالت تمام‌صفحه، رابط کاربری مرورگر را به نحوی تغییر دهند که کاربر تصور کند با یک وب‌‌سایت معتبر تعامل می‌کند، در حالی که در واقع با یک وب‌سایت مخرب در حال تعامل است. به این ترتیب، مهاجم می‌تواند صفحه‌ای جعلی را به نمایش گذاشته و حملاتی از نوع جعل رابط کاربری (UI Spoofing) را اجرا کند.

آسیب‌پذیری‌ها با شناسه‌های CVE-2024-8387 و CVE-2024-8389 که هردو با شدت بحرانی CVSS 9.8 شناسایی شده‌اند، به برخی نواقص امنیتی مرتبط با مدیریت حافظه در نسخه‌های قدیمی‌تر مرورگر FireFox‌ و ThunderBird برمی‌گردند که ممکن است باعث خرابی حافظه شوند. این نقص‌ها می‌توانند توسط مهاجمین برای اجرای کدهای مخرب روی سیستم استفاده شوند.


محصولات آسیب‌‌پذیر
شناسه‌های:CVE-2024-8381، CVE-2024-8382، CVE-2024-8381 و CVE-2024-8387 نسخه‌های FireFox  قبل از130، Thunderbird قبل از 128.2 و FireFox ESR  قبل از 115.15  را تحت تاثیر قرار می‌دهند.
شناسه:CVE-2024-8383 نسخه‌های FireFox قبل از130 و FireFox ESR قبل از115.1  را تحت تاثیر قرار می‌دهد.
شناسه:CVE-2024-8385 و CVE-2024-8386 نسخه‌های FireFox قبل از130 و Thunderbird قبل از128.2  را تحت تاثیر قرار می‌دهند.
شناسه: CVE-2024-8388 نسخه‌های FireFox قبل از 130را فقط روی سیستم‌عامل اندروید تحت تاثیر قرار می‌دهد.
شناسه:CVE-2024-8389 نسخه‌های FireFox قبل از130 را تحت تاثیر قرار می‌دهد.
 

توصیه‌های امنیتی
برای جلوگیری از هرگونه بهره‌برداری از این آسیب‌پذیری‌ها، به‌‌روزرسانی هرچه سریعتر مرورگر Firefox و نرم‌افزار Thunderbird به نسخه‌های جدیدتر و همچنین، خودداری از دانلود نرم‌افزارها از منابع نامطمئن توصیه می‌گردد.

 

منابع خبر:

 

 

[1] https://www.mozilla.org/en-US/security/advisories/mfsa2024-39

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-8388

کشف آسیب‌پذیری بحرانی در حافظه‌ی درایورهای پردازنده گرافیکی Arm

تاریخ ایجاد

یک آسیب‌پذیری استفاده پس از آزادسازی حافظه (Use After Free) با شناسه‌ی CVE-2024-3655، شدت بحرانی و امتیاز CVSS 9.8 در درایورهای پردازنده‌های گرافیکی Arm Ltd شامل Bifrost، Valhall و نسل پنجم معماری پردازنده گرافیکی، شناسایی شده ‌است که به کاربرانی با سطح دسترسی عادی امکان دسترسی به بخش‌هایی از حافظه را که قبلاً آزاد شده‌اند، می‌دهد.
آسیب‌پذیری استفاده پس از آزادسازی (Use After Free) زمانی رخ می‌دهد که یک بخش از حافظه پس از آزاد شدن، همچنان توسط برنامه استفاده شود. در درایورهای GPU نیز این مشکل ممکن است به دلیل سوءمدیریت حافظه به وجود بیاید.
در فرایند بهره‌برداری از آسیب‌پذیری استفاده پس از آزادسازی (Use After Free)، ابتدا بخشی از حافظه سیستم که برای انجام عملیات مشخصی مورد استفاده قرار گرفته بود، توسط درایور GPU آزاد می‌شود. این حافظه در شرایط عادی نباید مجدداً مورد استفاده قرار گیرد، اما به دلیل وجود نقص در مدیریت حافظه، امکان دسترسی مجدد به این بخش از حافظه فراهم می‌شود.
درایورهای GPU به صورت مستقیم با سخت‌افزار گرافیکی و مدیریت حافظه GPU سروکار دارند. در صورتی که حافظه GPU پس از آزاد شدن مجدداً و به اشتباه مورد استفاده قرار گیرد، مهاجم می‌تواند از این وضعیت بهره‌برداری کرده و به جای داده‌های معمول، کد مخربی در حافظه تزریق کند. این کد ممکن است توسط GPU یا CPU اجرا شود، که در نتیجه می‌تواند کنترل سیستم یا داده‌های حساس را در اختیار مهاجمان قرار دهد. خطر چنین سناریویی در صورتی که مهاجم به سیستم دسترسی محلی داشته‌ باشد و بتواند عملیات روی GPU را کنترل کند، افزایش می‌یابد.

محصولات تحت تاثیر
این آسیب‌پذیری در نسخه‌های r43p0 تا r49p0 از درایورهای کرنل پردازنده‌های گرافیکی Bifrost، Valhall و نسل پنجم معماری Arm وجود دارد.

توصیه‌های امنیتی
به‌روزرسانی هر چه سریع‌تر درایورهای پردازنده به نسخه‌های جدیدتر جهت جلوگیری از بهره‌برداری از این آسیب‌پذیری پیشنهاد می‌گردد.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-3655

کشف آسیب‌پذیری بحرانی پیمایش مسیردر نرم‌افزار DataDiodeX

تاریخ ایجاد

DataDiodeX محصولی ازDataFlowX Technology  است که برای ایجاد ارتباط یک‌طرفه و ایمن بین شبکه‌ها طراحی شده است. DataDiodeX به شبکه‌های حساس و حیاتی اجازه می‌دهد که داده‌ها را تنها در یک جهت از شبکه داخلی به خارجی انتقال دهند و از ورود هرگونه داده از خارج به داخل شبکه و نفوذهای سایبری جلوگیری می‌کند. اخیرا آسیب‌پذیری Path Traversal با شناسه CVE-2024-6445 وشدت ۱۰ در این نرم‌افزار شناسایی شده است که به مهاجم اجازه می‌دهد به دایرکتوری‌ها و فایل‌های سیستم خارج از محدوده‌ی مجاز نرم‌افزار دسترسی پیدا کند. این آسیب‌پذیری به دلیل عدم اعتبارسنجی صحیح ورودی‌هایی که مسیر فایل‌ها را تعریف می‌کنند، رخ می‌دهد. مهاجمان می‌توانند از این آسیب‌پذیری برای دسترسی غیرمجاز به فایل‌های حساس سیستم استفاده کنند و یا اطلاعات محرمانه‌ای را از سیستم استخراج کنند. اگر مهاجم به فایل‌هایی که شامل اسکریپت‌ها یا کدهای قابل اجرا هستند دسترسی پیدا کند، ممکن است بتواند کدهای‌مخرب را اجرا نموده و کنترل کامل سیستم را به دست‌گیرد.

محصولات تحت تاثیر
نسخه‌‌های قبل از 3.5.0 تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
فیلتر کردن ورودی‌ها: باید تمامی ورودی‌هایی که مسیر فایل را تعریف می‌کنند به درستی فیلتر و بررسی شوند تا کاراکترهای نامعتبر یا دستورات مربوط به تغییر مسیر مسدود شوند.
استفاده از توابع امن: برای دسترسی به فایل‌ها باید از توابعی استفاده شود که مسیرهای ورودی را بررسی کرده و فقط فایل‌هایی که در مسیرهای مجاز قرار دارند اجازه دسترسی داشته باشند.
محدود کردن دسترسی فایل‌ها: دسترسی به فایل‌های حساس باید محدود به کاربران یا برنامه‌هایی باشد که به آن‌ها نیاز دارند و سایر کاربران نباید به این فایل‌ها دسترسی داشته باشند.

منبع خبر:

https://www.cve.org/CVERecord?id=CVE-2024-6445

آسیب‌پذیری اجرای کد از راه دور در اکسس پوینت D-Link DAP-2310

تاریخ ایجاد

محققان یک آسیب‌پذیری به نام BouncyPufferfish در اکسس پوینت D-Link DAP-2310 کشف کرده‌اند که از نوع سرریز بافر مبتنی بر پشته می‌باشد. شناسه CVE-2024-45623 به این آسیب‌پذیری اختصاص یافته است. این آسیب‌پذیری در مولفه ATP وجود دارد که وظیفه آن رسیدگی به درخواست‌های HTTP به PHP برای وب‌سرور آپاچی (httpd) است. با ارسال یک درخواست HTTP GET توسط ابزاری مانند curl می‌توان از این آسیب‌پذیری سرریز بافر بهره‌برداری کرد که در نهایت منجر به صدا زدن تابع ()system و اجرای کد دلخواه خواهد شد. بهره‌برداری از این آسیب‌پذیری نیاز به تصدیق هویت ندارد.

محصولات تحت تاثیر
تمام دستگاه‌های D-Link DAP-2310 تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
به روزرسانی جدیدی برای دستگاه D-Link DAP-2310 منتشر نخواهد شد و این دستگاه منسوخ شده محسوب می‌شود. لذا توصیه می‌شود نسبت به تعویض اکسس پوینت خود با دستگاه جدید اقدام نمایید.

منبع خبر:


https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10406

کشف آسیب‌پذیری‌های بحرانی در افزونه‌های وردپرس

تاریخ ایجاد

به‌تازگی یک آسیب‌پذیری بحرانی با شناسه CVE-2024-7627 با شدت 8.1 در افزونه Bit File Manager وردپرس شناسایی شده است. این آسیب‌پذیری در برابر اجرای کد از راه دور از طریق عملکرد 'checkSyntax' آسیب‌پذیر است. به دلیل نوشتن یک فایل موقت در یک دایرکتوری در دسترس عموم، قبل از انجام اعتبارسنجی فایل این امکان را برای مهاجمان احراز هویت نشده فراهم می‌کند تا در صورتی که یک سرپرست به کاربر مهمان اجازه خواندن داده باشد، کد را روی سرور اجرا کنند.

WPCOM Member یکی از افزونه‌های وردپرس است که برای مدیریت اعضا و ثبت‌نام کاربران استفاده می‌شود. آسیب‌پذیری بحرانی با شناسه CVE-2024-7493 و شدت ۹.۸ در بخش ثبت‌نام این افزونه شناسایی شده است. بخش ثبت‌نام این افزونه به کاربران اجازه می‌دهد که از طریق فرم‌های ثبت‌نام، با وارد کردن نام کاربری، ایمیل، رمزعبور و سایر جزئیات در سایت عضو شوند. این آسیب‌پذیری‌ ناشی از ارسال داده‌های دلخواه توسط مهاجم در زمان ثبت‌نام به تابع  wp_insert_user()است. در وردپرس، این تابع به صورت امن برای ثبت‌نام و بروزرسانی کاربران استفاده می‌شود، اما در این افزونه، امکان ارسال داده‌های نادرست و بدون فیلتر نیز به این تابع وجود دارد. در نتیجه مهاجم در زمان ثبت‌نام می‌تواند بدون احراز هویت اطلاعات نقش کاربری را دستکاری نموده و نقش‌ خود را از یک کاربر عادی به مدیر ارتقاء دهد و کنترل کامل وب‌سایت را در دست گیرد.
 

یک آسیب‌پذیری با شناسه CVE-2024-159 و شدت 7.2 (بالا) در افزونه Ninja Forms - File Uploads کشف شده است که یک نقص Stored Cross-Site Scripting از طریق آپلود یک فایل مخرب است که به دلیل عدم پاکسازی مناسب ورودی و خروجی رخ می‌دهد. نقص امنیتی مذکور، این امکان را برای مهاجمان احراز هویت نشده فراهم می‌کند تا اسکریپت‌های دلخواه را در صفحات وب تزریق کرده که هر زمان کاربر به صفحه، دسترسی پیدا کند، اجرا می‌شود .بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و چندان به شرایط خاصی نیاز نیست (AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C)، یک ضلع از سه ضلع امنیت با شدت کمی تحت تأثیر قرار می‌گیرند (C:L/I:L/A:N).

محصولات تحت‌تأثیر
 شناسه CVE-2024-7627: نسخه‌های 6.0 تا 6.5.5

شناسه CVE-2024-7493: نسخه‌ی 1.5.2.1 و تمام نسخه‌‌های قبل از آن تحت تاثیر این آسیب‌پذیری قرار دارند.

شناسه CVE-2024-159:نسخه 3.3.16 و نسخه‌های قبل‌ از آن تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.

توصیه‌های امنیتی
شناسه CVE-2024-7627: با به‌روزرسانی به نسخه 6.5.6 و نسخه‌های بالاتر این آسیب‌پذیری رفع می‌شود.

شناسه CVE-2024-7493: به کاربران توصیه می‌شود افزونه را به آخرین نسخه به‌روزرسانی کنند.

شناسه CVE-2024-159:به کاربران توصیه می‌شود که نسخه‌های آسیب‌پذیر را به نسخه 3.3.18 ارتقاء دهند.

منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-7627

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-7493

[3]https://nvd.nist.gov/vuln/detail/CVE-2024-1596
[4]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ninja-forms-uploads/ninja-…

کشف آسیب‌پذیری بحرانی در افزونه‌ی WPML وردپرس

تاریخ ایجاد

یک آسیب‌پذیری بحرانی در افزونه چندزبانه WPML وردپرس کشف شده است که می‌تواند در شرایط خاصی به کاربران احراز هویت‌شده، امکان اجرای کد دلخواه از راه دور را بدهد. افزونه WPML یکی از محبوب‌ترین افزونه‌ها برای ایجاد سایت‌های چندزبانه وردپرس است و بیش از یک میلیون نصب فعال دارد.
این نقص امنیتی  که با شناسه CVE-2024-6386 و شدت CVSS 9.9 شناخته شده، به دلیل اعتبارسنجی نامناسب ورودی‌ها رخ داده است و به مهاجمان با سطح دسترسی Contributor و بالاتر این امکان را می‌دهد تا کد دلخواه خود را بر روی سرور اجرا کنند.
بنا به گزارش محققان امنیتی، این نقص به دلیل نحوه مدیریت ShortCodeها توسط افزونه ایجاد می‌شود. Shortcodeها در وردپرس قطعه کدهایی هستند که به کاربران اجازه می‌دهند به سادگی محتوای پویا مانند تصاویر، ویدیوها یا فرم‌ها را در صفحات و پست‌های خود قرار دهند. این کدها به طور معمول به وسیله قالب‌ها یا توابع وردپرس پردازش می‌شوند تا محتوای نهایی را نمایش دهند.
در افزونه WPML، Shortcodeها با استفاده از الگوهای Twig پردازش می‌شوند. Twig یک سیستم قالب‌بندی (template engine) است که امکان استفاده از دستورات و منطق‌های برنامه‌نویسی را درون الگوها (templates) فراهم می‌کند. اگر ورودی کاربر به درستی بررسی و فیلتر  نشود، یک مهاجم می‌تواند از این نقطه ضعف استفاده کند تا کد مخربی را در قالب یک Shortcode وارد کند.
این حمله به نام Server-Side Template Injection (SSTI) شناخته می‌شود. در این حمله، مهاجم از قابلیت‌های سیستم قالب‌بندی بهره‌برداری می‌کند تا کد دلخواه خود را به جای محتوای واقعی اجرا کند. به عبارت دیگر، به جای اینکه یک Shortcode ساده در صفحه، نمایش داده شود، کدی که مهاجم در آن قرار داده اجرا می‌شود. این کد می‌تواند دستورات مخربی باشد که در نهایت به اجرای کدهای دلخواه روی سرور منجر می‌شود، که می‌تواند به سرقت اطلاعات یا به دست گرفتن کنترل سایت منجر شود.
به گفته‌ی توسعه‌دهندگان افزونه، احتمال وقوع این نقص امنیتی در سناریوهای حمله‌ی واقعی کم است و برای انجام این حمله، کاربر باید مجوزهای ویرایش را در وردپرس داشته باشد و همچنین سایت باید دارای تنظیمات خاصی باشد.

محصولات تحت تاثیر
این آسیب‌پذیری تمامی نسخه‌های قبل از 4.6.13 این افزونه را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران افزونه WPML توصیه می‌شوند که آخرین به‌روزرسانی‌ها و وصله‌ها را برای کاهش تهدیدات احتمالی اعمال کنند.
 

منبع خبر:


https://thehackernews.com/2024/08/critical-wpml-plugin-flaw-exposes.html?m=1

کشف بدافزار HZ Rat backdoor در MacOS

تاریخ ایجاد

به تازگی محققان امنیتی آکادمی Kaspersky نسخه‌‌‌‌‌‌‌‌‌‌ای تازه از بدافزار HZ Rat backdoor کشف کرده‌‌‌‌‌‌‌‌‌‌اند که کاربران پیام‌‌‌‌‌‌‌‌‌‌رسان‌‌‌‌‌‌‌‌‌‌های DingTalk و WeChat در سیستم‌‌‌‌‌‌‌‌‌‌عامل macOS را هدف قرار می‌‌‌‌‌‌‌‌‌‌دهد و اقدام به جاسوسی از ایشان می‌‌‌‌‌‌‌‌‌‌کند. ساز و کار این نمونه جدید بسیار مشابه نسخه Windows این بدافزار می‌‌‌‌‌‌‌‌‌‌باشد که به وسیله کدهای مخرب PowerShell سیستم قربانی را آلوده می‌‌‌‌‌‌‌‌‌‌کرد. دو روش برای راه یافتن بدافزار به سیستم کاربر وجود دارد. در روش نخست کد مخرب به صورت مستقیم از سرور مهاجم دریافت می‌شود. لازم به ذکر است که برخی نسخه‌‌‌‌‌‌‌‌‌‌های این backdoor از آدرس‌‌‌‌‌‌‌‌‌‌های IP محلی برای برقراری ارتباط با یک سرور فرمان و کنترل (C2) استفاده می‌‌‌‌‌‌‌‌‌‌کردند. این امر می‌‌‌‌‌‌‌‌‌‌تواند نشان‌‌‌‌‌‌‌‌‌‌دهنده هدفمند بودن حمله و قصد مهاجمین برای بهره‌‌‌‌‌‌‌‌‌‌برداری از backdoor  به منظور حرکت جانبی روی شبکه قربانی باشد. در روش دوم بدافزار خود را به عنوان یک نصب‌‌‌‌‌‌‌‌‌‌کننده نرم‌‌‌‌‌‌‌‌‌‌افزاری دیگر همانند OpenVPN، PuTTYgen یا EasyConnect جا می‌‌‌‌‌‌‌‌‌‌زند. هنوز نقطه توزیع اصلی بدافزار یافت نشده است ولی یک بسته نصبی برای یکی از نمونه‌‌‌‌‌‌‌‌‌‌های آن به نام OpenVPNConnect.pkg در دسترس عموم قرار گرفته است. این نمونه توسط هیچ یک از ابزارهای مطرح، مخرب شناسایی نشده است و همانند یک نصب‌‌‌‌‌‌‌‌‌‌کننده نرم‌‌‌‌‌‌‌‌‌‌افزار عمل می‌‌‌‌‌‌‌‌‌‌کند با این تفاوت که در زیرشاخه MacOS و در کنار نرم‌‌‌‌‌‌‌‌‌‌افزار اصلی، دو فایل exe و init نیز وجود دارند.
با اجرای نرم‌‌‌‌‌‌‌‌‌‌افزار بر روی سیستم قربانی، ابتدا، فایل exe اجرا می‌‌‌‌‌‌‌‌‌‌شود. فایل exe حاوی کدهایی است که نخست فایل init و سپس نرم‌‌‌‌‌‌‌‌‌‌افزار OpenVPN را اجرا می‌‌‌‌‌‌‌‌‌‌کند. این ترتیب اجرا در فایل Info.plist مشخص شده است.
در واقع، فایل init همان backdoor می‌‌‌‌‌‌‌‌‌‌باشد که به زبان C++ نوشته شده است. پس از اجرا شدن، فایل init، با IPهای مشخص‌‌‌‌‌‌‌‌‌‌شده در خود backdoor اتصالی به سرور C2 برقرار می‌‌‌‌‌‌‌‌‌‌کند. در بسیاری از موارد پورت 8081 برای اتصال مورد استفاده قرار گرفته است. همچنین برخی نمونه‌‌‌‌‌‌‌‌‌‌ها از آدرس‌‌‌‌‌‌‌‌‌‌های IP خصوصی برای برقراری این اتصال بهره می‌‌‌‌‌‌‌‌‌‌بردند. این نمونه‌‌‌‌‌‌‌‌‌‌ها، به احتمال بالا، به منظور کنترل دستگاه قربانی با استفاده از رایانه‌‌‌‌‌‌‌‌‌‌ای از پیش آلوده‌‌‌‌‌‌‌‌‌‌شده در شبکه محلی ایشان به عنوان سرور پروکسی برای راهنمایی اتصال به سوی سرور C2 به کار برده می-شده‌‌‌‌‌‌‌‌‌‌اند. این امر به منظور پنهان کردن بدافزار در شبکه صورت می‌‌‌‌‌‌‌‌‌‌گیرد زیرا تنها دستگاه دارای پروکسی با سرور C2 ارتباط برقرار می‌‌‌‌‌‌‌‌‌‌کند.
تمامی ارتباطات با سرور C2 با استفاده از XOR و کلید 0X42 رمزگذاری شده‌‌‌‌‌‌‌‌‌‌اند. برای آغاز session، backdoor یک عدد تصادفی با برچسب cookie را به سرور ارسال می‌‌‌‌‌‌‌‌‌‌کند. تمامی پیام‌‌‌‌‌‌‌‌‌‌های ارسال‌‌‌‌‌‌‌‌‌‌شده به سرور ساختار زیر را دارند.
•    کد پیام – 1 بایت
•    طول پیام – 4 بایت
•    متن پیام که 4 بایت نخست آن اندازه داده را مشخص می‌‌‌‌‌‌‌‌‌‌کند.
backdoor تنها چهار دستور ساده را پشتیبانی می‌‌‌‌‌‌‌‌‌‌کند که در جدول زیر آورده شده‌‌‌‌‌‌‌‌‌‌اند.

Capture_4


از این دستورات، تنها دو دستور execute_cmdline و ping در نمونه بررسی‌‌‌‌‌‌‌‌‌‌شده به کار برده شده بودند. پس از بررسی‌‌‌‌‌‌‌‌‌‌های بیش‌‌‌‌‌‌‌‌‌‌تر، دستورات اجرایی از سرور C2 به دست آمده که اطلاعات زیر را از سیستم قربانی استخراج می‌‌‌‌‌‌‌‌‌‌کنند.
•    وضعیت System Integrity Protection
•    اطلاعات سیستم و دستگاه، از جمله
   •    آدرس IP محلی
   •    اطلاعات دستگاه های بلوتوثی
   •    اطلاعات شبکه های Wi-Fi در دسترس، آداپتورهای شبکه بی‌‌‌‌‌‌‌‌‌‌سیم موجود و شبکه‌‌‌‌‌‌‌‌‌‌ای که دستگاه به آن متصل است
   •    مشخصات سخت‌‌‌‌‌‌‌‌‌‌افزاری
   •    اطلاعات مربوط به ذخیره‌‌‌‌‌‌‌‌‌‌سازی داده‌‌‌‌‌‌‌‌‌‌ها
•    لیست برنامه‌‌‌‌‌‌‌‌‌‌ها
•    اطلاعات کاربر در WeChat
•    اطلاعات کاربر و سازمان از DingTalk
•    کاربری و وب‌سایت به صورت مقادیر جفتی از Google Password Manager

بدافزار تلاش می‌‌‌‌‌‌‌‌‌‌کند شناسه WeChat (WeChatID)، آدرس ایمیل و شماره تلفن کاربر را از WeChat استخراج کند. این داده‌‌‌‌‌‌‌‌‌‌ها به صورت متن ساده (plain text) در فایل userinfo.data ذخیره می‌‌‌‌‌‌‌‌‌‌شوند.
مهاجمین به اطلاعات دقیق‌‌‌‌‌‌‌‌‌‌تری از برنامه DingTalk علاقه‌‌‌‌‌‌‌‌‌‌منداند. این اطلاعات عبارت‌‌‌‌‌‌‌‌‌‌اند از:
•    نام سازمان و بخشی که کاربر در آن کار می‌‌‌‌‌‌‌‌‌‌کند
•    نام کاربری
•    آدرس ایمیل شرکت
•    شماره تلفن
کد مخرب تلاش می‌‌‌‌‌‌‌‌‌‌کند این اطلاعات را  از فایل orgEmployeeModel دریافت کند. اگر این فایل یافت نشود، بدافزار در فایل sAlimailLoginEmail به دنبال شماره تلفن و آدرس ایمیل کاربر می‌‌‌‌‌‌‌‌‌‌گردد. اگر این اقدام نیز شکست بخورد، تلاش می‌‌‌‌‌‌‌‌‌‌کند آدرس ایمیل کاربر را در یکی از فایل‌‌‌‌‌‌‌‌‌‌های کش DingTalk به نام <date>.holmes.mappings بیابد. این اطلاعات نیز به صورت متن ساده نگه‌‌‌‌‌‌‌‌‌‌داری می‌‌‌‌‌‌‌‌‌‌شوند.
در زمان تحلیل، 4 سرور کنترل فعال بوده و دستورات مخرب باز می‌‌‌‌‌‌‌‌‌‌گرداند. برخی از آدرس‌‌‌‌‌‌‌‌‌‌های IP شناسایی‌‌‌‌‌‌‌‌‌‌شده پیش‌‌‌‌‌‌‌‌‌‌تر در حملات به دستگاه‌‌‌‌‌‌‌‌‌‌های Windows دیده شده بودند. به جز تنها دو سرور که در ایالت متحده آمریکا و هلند قرار داشتند، تمامی سرورهای C2 در چین یافت شدند. با توجه به اطلاعات به دست آمده از سایت VirusTotal بسته نصبی مخرب قبلا از دامنه زیر که متعلق به شرکت بازی‌‌‌‌‌‌‌‌‌‌سازی MiHoYo می‌‌‌‌‌‌‌‌‌‌باشد بارگیری شده است.
hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip.
چگونگی راهیابی این فایل به دامنه بالا هنوز به طور قطع مشخص نشده است و احتمال دارد این کمپانی قبلا هک شده باشد.
در ادامه انواع نشانگرهای نفوذ آورده شده‌‌‌‌‌‌‌‌‌‌اند.



backdoor MD5 file hashes
0c3201d0743c63075b18023bb8071e73 – Mach-O 64-bit x86_64 executable
6cc838049ece4fcb36386b7a3032171f – Mach-O 64-bit x86_64 executable
6d478c7f94d95981eb4b6508844050a6 – Mach-O 64-bit x86_64 executable
7a66cd84e2d007664a66679e86832202 – Mach-O 64-bit x86_64 executable
7ed3fc831922733d70fb08da7a244224 – Mach-O 64-bit x86_64 executable
9cdb61a758afd9a893add4cef5608914 – Mach-O 64-bit x86_64 executable
287ccbf005667b263e0e8a1ccfb8daec – Mach-O 64-bit x86_64 executable
7005c9c6e2502992017f1ffc8ef8a9b9 – Mach-O 64-bit x86_64 executable
7355e0790c111a59af377babedee9018 – Mach-O 64-bit x86_64 executable
a5af0471e31e5b11fd4d3671501dfc32 – Mach-O 64-bit x86_64 executable
da07b0608195a2d5481ad6de3cc6f195 – Mach-O 64-bit x86_64 executable
dd71b279a0bf618bbe9bb5d934ce9caa – Mach-O 64-bit x86_64 executable
 

C2 IP addresses
111.21.246[.]147
123.232.31[.]206
120.53.133[.]226
218.193.83[.]70
29.40.48[.]21
47.100.65[.]182
58.49.21[.]113
113.125.92[.]32
218.65.110[.]180
20.60.250[.]230



محصولات تحت‌تأثیر
تمامی نسخه‌‌‌‌‌‌‌‌‌‌های سیستم‌‌‌‌‌‌‌‌‌‌عامل macOS در مقابل این بدافزار آسیب‌‌‌‌‌‌‌‌‌‌پذیر هستند.

توصیه‌های امنیتی
اطمینان حاصل کنید که macOS و تمامی اپلیکیشن‌های نصب‌شده به‌روز باشند تا آسیب‌پذیری‌های شناخته‌شده برطرف شوند و به کاربران توصیه می‌‌‌‌‌‌‌‌‌‌شود از برنامه‌‌‌‌‌‌‌‌‌‌های WeChat و DingTalk اجتناب کنند.

منبع خبر:


https://securelist.com/hz-rat-attacks-wechat-and-dingtalk/113513

کشف آسیب‌پذیری تزریق اشیاء در افزونه Events Calendar Pro وردپرس

تاریخ ایجاد

The Events Calendar Pro یکی از افزونه‌های سیستم مدیریت محتوای وردپرس است که برای ایجاد، سازماندهی، نمایش تقویم و رویدادها استفاده می‌شود. نسخه‌ی ۷.۰.۲ این افزونه و تمام نسخه‌های قبل از آن به دلیل عدم اعتبارسنجی صحیح داده‌های ورودی کاربر دارای آسیب‌پذیری تزریق شیء php با شناسه CVE-2024-8016 و شدت ۹.۱ هستند.
این آسیب‌پذیری زمانی رخ می‌دهد که مهاجم احرازهویت شده با سطح دسترسی مدیر یا بالاتر یک شیء PHP را به عنوان ورودی توسط پارامتر filters به تابع ()unserialize در PHP ارسال کند. وجود یک زنجیره POP امکان اجرای کد از راه دور را برای مهاجم فراهم می‌کند. هر‌گاه این افزونه به همراه افزونه Elementor نصب گردد کاربران با سطح دسترسی contributor و بالاتر نیز می‌توانند از این آسیب‌پذیری بهره‌برداری کنند.

محصولات تحت تاثیر
نسخه‌ی ۷.۰.۲ و تمام نسخه‌‌های قبل از آن

توصیه‌های امنیتی
به کاربران توصیه می‌شود افزونه را به نسخه7.0.2.1  به‌روزرسانی کنند.

منبع خبر:

https://www.cve.org/CVERecord?id=CVE-2024-8016

حمله D(HE)at (نقص 20 ساله در پروتکل دیفی هلمن؛ گرمای بیش از حد CPU )

تاریخ ایجاد

محققان نوع جدیدی از حمله انکار سرویس (DoS) را کشف کرده‌‏اند که به عنوان حمله D(HE)at شناخته می شود. این حمله از نیازهای محاسباتی پروتکل توافق کلید دیفی هلمن، به ویژه نوع زودگذر آن (DHE) با کمترین تلاش مهاجم برای غلبه بر سرورها بهره‌برداری می‏کند.
پروتکل توافق کلید دیفی هلمن در یک کانال ناامن میان دو یا بیش‌‌‌‌‌‌‌‌‌تر موجودیت به منظور توافق طرفین برای رسیدن به یک کلید مشترک صورت می‌‌‌‌‌‌‌‌‌گیرد. موجودیت‌‌‌‌‌‌‌‌‌ها بعد از ساخت این کلید مشترک، از آن برای رمزگذاری و رمزگشایی پیام‌‌‌‌‌‌‌‌‌های مبادله شده خود استفاده می‌‌‌‌‌‌‌‌‌کنند.
این حمله به دلیل توانایی آن در گرم کردن بیش از حد CPU با وادار کردن قربانی به انجام محاسبات سنگین توان ماژولار است که در مبادله کلید Diffie-Hellman در پروتکل‌های رمزنگاری مانند  TLS، SSH، IPsec  و OpenVPN  استفاده می‌شود.

در شرایط عادی، موجودیت‌‌‌‌‌‌‌‌‌های پروتکل توافق کلید دیفی هلمن عملیات محاسباتی مشابهی انجام می‌‌‌‌‌‌‌‌‌دهند.

شکل1: پروتکل توافق کلید دیفی-هلمن


طبق شکل 1، موجودیت‌‌‌‌‌‌‌‌‌های آلیس و باب هرکدام دو عملیات توان‌‌‌‌‌‌‌‌‌رسانی انجام می‌‌‌‌‌‌‌‌‌دهند. حمله D (HE)at زمانی رخ می‌‌‌‌‌‌‌‌‌دهد که موجودیتِ شروع کننده پروتکل (در این‌‌‌‌‌‌‌‌‌جا باب)، به جای محاسبه مقدار A، یک مقدار تصادفی برای آلیس ارسال کند. در این صورت باب(بدخواه) هیچ عملیات محاسباتی انجام نخواهد داد اما آلیس(قربانی) دو بار عملیات توان‌‌‌‌‌‌‌‌‌رسانی انجام می‌‌‌‌‌‌‌‌‌دهد. با تکرار این کار، آلیس بار محاسباتی زیادی متحمل خواهد شد.

شکل2: نمونه حمله D (HE)at در پروتکل TLS1.3 یا SSH


طبق شکل 2، کلاینت مخرب هیچ محاسبه‌‌‌‌‌‌‌‌‌ای انجام نمی‌‌‌‌‌‌‌‌‌دهد اما سرور قربانی دو عملیات توان‌‌‌‌‌‌‌‌‌رسانی انجام می‌‌‌‌‌‌‌‌‌دهد.
برخی موارد این حمله را تشدید می‌‌‌‌‌‌‌‌‌کند که در ادامه به آن اشاره شده است:
•    طول توان: هرچه مقدار عددی که در توان قرار می‌‌‌‌‌‌‌‌‌گیرد بزرگ‌‌‌‌‌‌‌‌‌تر باشد مسلما توان محاسباتی بیش‏تری لازم است. برخی کتابخانه‌‌‌‌‌‌‌‌‌های رمزنگاری از نماهای طولانی استفاده می‌‌‌‌‌‌‌‌‌کنند که منجر به بار محاسباتی بیش‌‌‌‌‌‌‌‌‌تر می‌‌‌‌‌‌‌‌‌شود. (CVE-2022-40735)
•    اعتبارسنجی کلیدعمومی: برای جلوگیری از حملات محدود کردن زیرگروه کوچک، سرورها باید مرتبه کلید عمومی را تایید کنند. با این حال برخی کتابخانه‌‌‌‌‌‌‌‌‌ها این اعتبار سنجی را بدون توجه به استفاده از یک گروه اول امن انجام می‌‌‌‌‌‌‌‌‌دهند. (CVE-2024-41996)
•    اندازه پارامترها: برخی از کتابخانه‌‌‌‌‌‌‌‌‌ها مانند OpenSSL به طور پیش‌‌‌‌‌‌‌‌‌فرض بزرگترین اندازه پارامتر موجود را دارند که اگر به درستی توسط سرورهای برنامه پیکربندی نشوند، می‌‌‌‌‌‌‌‌‌تواند مورد بهره‌برداری قرار بگیرد.
روش مقابله با حمله D(HE)at
•    به‌‌‌‌‌‌‌‌‌روزسانی پروتکل‌‌‌‌‌‌‌‌‌ها: برای مثال استفاده از پروتکل جدید TLS 1.3
•    پیکربندی کتابخانه‌‌‌‌‌‌‌‌‌ها: تنظیمات کتابخانه‌‌‌‌‌‌‌‌‌ها برای استفاده از نماهای کوچک‌‌‌‌‌‌‌‌‌تر و اندازه پارامترهای کوتاه‌‌‌‌‌‌‌‌‌تر
•    پیاده‌‌‌‌‌‌‌‌‌سازی محدودیت نرخ: محدودیت نرخ بر روی تعداد درخواست Handshake به سرور از طرف یک کلاینت مشخص
•    مانیتورینگ و هشداردهی: راه‌‌‌‌‌‌‌‌‌اندازی سیستم‌‌‌‌‌‌‌‌‌های مانیتورینگ برای تشخیص الگوهای ناهنجار مربوط به درخواست‌‌‌‌‌‌‌‌‌های Handshake که منجر به حمله خواهند شد.

منبع خبر:


https://cybersecuritynews.com/dheat-attack

آسیب‌پذیری XSS در ConnX ESP HR Management

تاریخ ایجاد

یک آسیب‌پذیری به شماره شناسه CVE-2024-7269 و شدت ۸.۷ که یک نقص از نوع XSS ذخیره‌شده است، در فرم «به‌روزرسانی جزئیات شخصی» نرم‌افزار ConnX ESP HR Management کشف شده است. این نقص که به دلیل پاکسازی نادرست ورودی‌ها در زمان تولید صفحات وب رخ می‌دهد،  به مهاجمان اجازه می‌دهد تا کدهای مخرب جاوااسکریپت را در فرم‌های ورودی تزریق کرده و آن‌ها را در مرورگر کاربران اجرا کنند. این امر می‌تواند به سرقت اطلاعات حساس، اجرای عملیات غیرمجاز، یا تغییر نمایش صفحات وب منجر شود.

محصولات تحت‌تأثیر
این آسیب‌پذیری در نسخه‌های قبل از ۶.۶ نرم‌افزار ConnX ESP HR Management شناسایی شده است.

توصیه‌های امنیتی
به‌روزرسانی به نسخه ۶.۶ موجب رفع این آسیب‌پذیری می‌شود.


منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-7269