کشف آسیب‌پذیری در Cloudburst Network

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-30249 و شدت بالا (8.6) در Cloudburst Network کشف شده است. این آسیب‌پذیری بر نرم‌افزارهای قابل دسترسی عمومی که به نسخه‌های تحت‌تأثیر شبکه متکی است، تأثیر می‌گذارد. این نقص مهاجم را قادر می‌سازد تا از شبکه به عنوان یک بردار تقویت برای حمله انکار سرویس UDP (DoS) علیه قربانی، بهره‌برداری کند.
بر اساس بردار حمله این آسیب‌پذیری‌ (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H) بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله، حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N)  و به تعامل با کاربر نیاز ندارد (UI:N). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار است (S: C) و یک ضلع از سه ضلع امنیت، با شدت بالایی تحت تاثیر قرار می‌گیرد.

محصولات تحت تأثیر
این نقص امنیتی تمامی نسخه‌های قبل از "1.0.0.CR1-20240330.101522-15 "  Cloudburst Network را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود نسخه کتابخانه خود را به "1.0.0.CR1-20240330.101522-15 " ارتقاء دهند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-30249

کشف آسیب‌پذیری در Microsoft Edge

تاریخ ایجاد

دو آسیب‌پذیری با شناسه‌های CVE-2024-29981 و CVE-2024-29049 با شدت متوسط (4.1 و 4.3) در مرورگر Microsoft Edge (Chromium-based) کشف شده است. این دو نقص هر دو باعث ایجاد آسیب‌پذیری Webview2 Spoofing می‌شوند که یک مهاجم با بهره‌برداری از آن می‌تواند حملات جعل مانند جعل ایمیل انجام دهد.
بر اساس بردار حمله این آسیب‌پذیری‌ (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N) بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله، حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N)  و به تعامل با کاربر نیاز دارد (UI: R). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و یک ضلع از سه ضلع امنیت، با شدت بالایی تحت تاثیر قرار می‌گیرند.

محصولات تحت تأثیر
این نقص امنیتی نسخه‌ 1.0.0 تا 123.0.2420.81  مرورگر Microsoft Edge را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود مرورگر خود را به آخرین نسخه موجود به‌روزرسانی کنند.


منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-29981
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-29049

کشف آسیب‌پذیری در افزونه LayerSlider وردپرس

تاریخ ایجاد

یک آسیب‌پذیری شناسه CVE-2024-2879 و شدت 9.8 از نوع Unauthenticated SQL Injection در افزونه وردپرس LayerSlider کشف شده است که به مهاجمان اجازه می‌دهد بدون نیاز به احراز هویت، دستورات SQL را به درخواست‌ها اضافه نمایند که این امر می‌تواند برای استخراج داده‌های پایگاه داده و اطلاعات حساس به کار گرفته شود. پیاده‌سازی نامناسب عملکرد slider popup markup query در این افزونه منجر به آسیب‌پذیری SQLi می‌شود. با بررسی کد منبع افزونه مشاهده می‌شود که از تابع ls_get_popup_markup() برای پرس و جوی slider markup جهت popup استفاده می‌شود که مقدار id می‌تواند توسط پارامتر id تعیین گردد:

1


 
اگر پارامتر id یک عدد نباشد بدون تایید اعتبار به تابع find() ارسال می‌شود که در کلاس LS_Sliders قرار دارد. در اینجا بررسی می‌شود آیا $args یک عدد یا رشته یا آرایه خاص از نوع integer است:

2


 
بر روی تمام مقادیر $args توسط تابع esc_sql() عمل escape انجام می‌شود به جز مقدار where که بدون استفاده از تابع  prepare() وردپرس بر روی آن به query اضافه می‌گردد:

3


 
تابع prepare() پرس و جوی SQL را برای مقادیر مخرب بررسی و تایید اعتبار می‌کند تا بتوان آن را به طور امن در وردپرس اجرا کرد و این محافظت در برابر حملات SQL injection ایجاد می‌کند. از آنجایی که به دلیل ساختار پرس و جو امکان Union-Based SQL injection وجود ندارد، باید از روش time-based blind جهت بهره‌برداری از آسیب‌پذیری استفاده کرد. در اینجا از دستورالعمل‌های CASE به همراه تابع SLEEP() در زبان SQL می‌توان جهت بهره‌برداری از آسیب‌پذیری استفاده کرد. این روش بهره‌برداری پیچیده‌تر است اما در نهایت می‌توان آن را با موفقیت اجرا کرد و اطلاعات حساس پایگاه داده را استخراج نمود.

محصولات تحت تاثیر
این آسیب‌پذیری نسخه‌های 7.9.11 تا 7.10.0 از افزونه وردپرس LayerSlider را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
این آسیب‌پذیری در نسخه 7.10.1 افزونه برطرف شده است. توصیه می‌شود در اسرع وقت نسبت به نصب آخرین نسخه اقدام نمایید.

منبع خبر:


https://www.wordfence.com/blog/2024/04/5500-bounty-awarded-for-unauthenticated-sql-injection-vulner…

هشدار فوری Red Hat در خصوص وجود Back door در ابزار فشرده‌سازی XZ Utils

تاریخ ایجاد

شرکت Red Hat به کاربران ابزار فشرده‌سازی XZ Utils هشدار داد که استفاده از سیستم‌های مجهز به نسخه آزمایشی و مخصوص توسعه‌دهندگان Fedora را متوقف کنند، زیرا یک Back door در آخرین نسخه این ابزار و کتابخانه‌های آن کشف شده است. این شرکت در هشداری فوری اعلام کرد که استفاده از FEDORA 41 یا FEDORA RAWHIDE را برای استفاده‌های کاری و شخصی متوقف نمایید. هیچکدام از نسخه‌های Red Hat Enterprise Linux (RHEL) تحت تاثیر آسیب‌پذیری مذکور قرار نگرفته‌اند. گزارش‌ها و شواهدی مبنی بر تزریق موفق کد مخرب در نسخه‌های 5.6.x از XZ برای Debian unstable (Sid) دریافت شده است و سایر توزیع‌های لینوکس هم ممکن است تحت تاثیر قرار گرفته باشند. هیچ یک از نسخه‌های stable از Debian به نسخه‌های مخرب XZ آلوده نشده‌اند. این آسیب‌پذیری توسط یکی از مهندسین نرم‌افزار شرکت مایکروسافت هنگام تحقیق بر روی علت ورود کند با استفاده از SSH به یک سیستم لینوکسی با توزیع Debian Sid کشف شده که نسخه مخصوص توسعه‌دهندگان می‌باشد. این Back door می‌تواند به مهاجمان در دور زدن فرایند احراز هویت SSH کمک کند و دسترسی غیر مجاز به کل سیستم را از طریق SSH فراهم نماید.
این آسیب‌پذیری با شناسه CVE-2024-3094 و شدت بحرانی 10 شناسایی شده است که از نوع زنجیره تأمین (supply chain) می‌باشد.

توصیه‌های امنیتی
•    از نسخه‌های آزمایشی سیستم عامل لینوکس استفاده نکنید و تنها از نسخه‌های stable استفاده نمایید.
•    با اجرای دستور xz -V در محیط ترمینال نسخه XZ را چک کنید؛ اگر نسخه 5.60 یا 5.61 باشد باید سریعاً به نسخه‌های قدیمی downgrade نمایید. نسخه 5.4.6 Stable آخرین نسخه دستکاری نشده می‌باشد.
•    در صورت کشف نسخه آسیب‌پذیر بر روی سیستم به دنبال فعالیت‌های مشکوک بر روی سیستم بگردید و Threat hunting انجام دهید.

منابع خبر:


[1]https://www.bleepingcomputer.com/news/security/red-hat-warns-of-backdoor-in-xz-tools-used-by-most-l…
[2]https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
[3]https://nvd.nist.gov/vuln/detail/CVE-2024-3094
 

کشف آسیب‌پذیری در محصولات Bosch

تاریخ ایجاد

 یک آسیب‌پذیری با شناسه CVE-2024-25002 و شدت بالا (8.8) کشف شده است که مربوط به رابط تشخیص و عیب‌یابی Bosch Network Synchronizer می‌باشد. مهاجم با بهره‌برداری از این نقص توانایی تزریق کد از راه دور در Bosch Network Synchronizer  را دارد که منجر به،  به دست آوردن دسترسی کامل دستگاه می‌شود.
بر اساس بردار حمله این آسیب‌پذیری‌ (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله، حساب کاربری با سطح دسترسی پایین نیاز است (PR: L)  و به تعامل با کاربر نیاز ندارد (UI:N). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و هر سه ضلع امنیت، با شدت بالایی تحت تاثیر قرار می‌گیرند.

محصولات تحت تأثیر
این نقص امنیتی تمامی نسخه‌های قبل از 9.30  Bosch Network Synchronizer را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی 
به کاربران توصیه می‌شود Bosch Network Synchronizer را به نسخه 9.30.52153 ارتقاء دهند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-25002
 

کشف آسیب‌پذیری در OpenText Secure Content Manager

تاریخ ایجاد

به تازگی آسیب‌پذیری با شناسه CVE-2024-1973 و شدت بالا(8.5) برای OpenText Secure Content Manager کشف شده است. مهاجم با دسترسی پایین در Content Manager با بهره‌برداری از این نقص امنیتی می‌تواند حساب‌های کاربری Content Manager را برای افزایش امتیازات و انجام عملیات‌ غیرمجاز دستکاری کنند.
بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H) بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ بوده و به‌راحتی قابل تکرار نیست (AC:H)، برای انجام حمله، حساب کاربری با سطح دسترسی پایین نیاز است (PR: L)  و به تعامل با کاربر نیاز ندارد .(UI:N)بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار است (S: C) و هر سه ضلع امنیت، با شدت بالایی تحت تاثیر قرار می‌گیرند.

محصولات تحت تأثیر و توصیه‌های امنیتی 
در جدول زیر نسخه‌های تحت تأثیر و توصیه‌های امنیتی ذکرشده است:
 

1



منبع خبر:


 https://nvd.nist.gov/vuln/detail/CVE-2024-1973
 

کشف آسیب‌پذیری در phpMyFAQ

تاریخ ایجاد

phpMyFAQ یک برنامه وب FAQ منبع باز برای  PHP 8.1+ و MySQL، PostgreSQL و پایگاه داده‌های دیگر است. به تازگی یک نقص امنیتی با شناسه CVE-2024-29179  و شدت متوسط (4.3) برای این برنامه وب کشف شده است که در صورت بهره‌‌بردرای از آن توسط مهاجم، می‌تواند با امتیازات و دسترسی مدیریت یک پیوست حاوی کد JS را بدون پسوند آپلود کند و برنامه آن را به صورت HTML ارائه می‌کند که امکان حملات XSS را فراهم می‌کند. 
بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L) بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله، حساب کاربری با سطح دسترسی بالا نیاز است (PR: H)  و به تعامل با کاربر نیاز دارد (UI: R). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و هر سه ضلع امنیت، با شدت کم تحت تاثیر قرار می‌گیرند.

محصولات تحت تأثیر
نسخه 3.2.5 این برنامه phpMyFAQ تحت تأثیر این نقص امنیتی قرار دارد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود که phpMyFAQ را به نسخه 3.2.6 به‌روزرسانی کنند.

منبع خبر:


 https://nvd.nist.gov/vuln/detail/CVE-2024-29179 
 

کشف تعدادی VPN رایگان در Google Play و تبدیل گوشی کاربران به سرور پروکسی

تاریخ ایجاد

بیش از 15 برنامه رایگان VPN در فروشگاه Google Play کشف شده‌اند که از یک کیت توسعه نرم‌افزار مخرب استفاده می‌کنند. این کیت می‌تواند دستگاه‌های اندرویدی را به طور ناخواسته تبدیل به یک سرور پروکسی residential نماید که احتمالاً بعداً برای مقاصد جرایم سایبری و بات‌ها مورد استفاده قرار خواهد گرفت. علاوه بر کاربردهای مجازی که این نوع پروکسی می‌تواند داشته باشد، معمولاً بسیاری از مجرمان سایبری از آن‌ جهت مخفی کردن فعالیت مخرب خود، ارسال هرزنامه، فیشینگ و سرقت کلمات عبور استفاده می‌کنند.
برخی از کاربران ممکن است به صورت داوطلبانه دستگاه خود را به ازای دریافت پول یا سایر جوایز در اختیار یک برنامه VPN قرار دهند، اما برخی از این سرویس‌ها از روش‌های غیر مجاز برای نصب ابزار پروکسی خود بر روی دستگاه کاربران استفاده می‌کنند. وقتی که کاربر این نوع برنامه‌ها را نصب می‌کند، پهنای باند اینترنت وی بدون اطلاع مورد سوءاستفاده قرار گرفته و ممکن است بعداً درگیر مشکلات حقوقی نیز گردد.
در گزارشی که توسط یک تیم متخصص امنیت منتشر شده است، 28 برنامه در فروشگاه Google Play فهرست شده که به طور مخفیانه دستگاه کاربر را به یک پروکسی سرور تبدیل می‌کنند. از این 28 برنامه 17 تای آن‌ها برنامه‌های رایگان VPN بوده‌اند. تمام این برنامه‌ها از یک SDK متعلق به LumiApps به نام Proxylib استفاده می‌کنند که یک کتابخانه Golang برای امور مربوط به پروکسی است. فهرست این 28 برنامه به شرح زیر می‌باشد:


1.    Lite VPN
2.    Anims Keyboard
3.    Blaze Stride
4.    Byte Blade VPN
5.    Android 12 Launcher (by CaptainDroid)
6.    Android 13 Launcher (by CaptainDroid)
7.    Android 14 Launcher (by CaptainDroid)
8.    CaptainDroid Feeds
9.    Free Old Classic Movies (by CaptainDroid)
10.    Phone Comparison (by CaptainDroid)
11.    Fast Fly VPN
12.    Fast Fox VPN
13.    Fast Line VPN
14.    Funny Char Ging Animation
15.    Limo Edges
16.    Oko VPN
17.    Phone App Launcher
18.    Quick Flow VPN
19.    Sample VPN
20.    Secure Thunder
21.    Shine Secure
22.    Speed Surf
23.    Swift Shield VPN
24.    Turbo Track VPN
25.    Turbo Tunnel VPN
26.    Yellow Flash VPN
27.    VPN Ultra
28.    Run VPN


پلتفرم LumiApps جهت کسب درآمد از برنامه‌های اندرویدی استفاده می‌شود و از آدرس IP یک دستگاه برای فراخوانی صفحات وب در پس‌زمینه استفاده می‌کند. این واضح نیست که آیا توسعه‌دهندگان این برنامه‌های رایگان از تبدیل دستگاه کاربران خود به سرور پروکسی برای انجام فعالیت ناخواسته اطلاع داشته‌اند یا خیر. تصور می‌شود که این برنامه‌های مخرب به یک سرویس پروکسی وصل می‌شده‌اند که در انجمن‌های جرایم سایبری تبلیغ می‌شده است. شرکت گوگل در ماه فوریه 2024 برنامه‌هایی که از LumiApps SDK استفاده می‌کنند را از Play Store حذف کرده است و Google Play Protect استفاده از این کتابخانه‌های مخرب را در برنامه‌ها اسکن می‌نماید. اما برخی از برنامه‌های فوق‌الذکر بعد از حذف SDK مخرب اکنون دوباره در فروشگاه Google Play store در دسترس قرار گرفته‌اند. این برنامه‌ها توسط حساب‌های توسعه‌دهنده جدید منتشر شده‌اند که نشان دهنده مسدود شدن حساب قبلی آن توسعه دهنده توسط گوگل می‌باشد. این که برنامه‌های جدید امن هستند یا خیر هنوز مشخص نشده است.

توصیه‌های امنیتی
اگر تاکنون از برنامه‌های فوق استفاده کرده‌اید بهتر است به آخرین نسخه‌ای به‌روزرسانی نمایید که از SDK مخرب استفاده نمی‌کند، اما جهت احتیاط بهتر است کلاً این برنامه‌ها را از روی گوشی خود حذف نمایید. استفاده از برنامه‌های رایگان و متفرقه VPN به طور کلی توصیه نمی‌شود، زیرا این برنامه‌ها معمولاً اقدام به جمع‌آوری اطلاعات از گوشی کاربر و تبدیل گوشی به سرور پروکسی می‌نمایند و از این طریق به کسب درآمد می‌پردازند که این امنیت کاربر را به خطر می‌اندازد.

منابع خبر:


[1]https://www.bleepingcomputer.com/news/security/free-vpn-apps-on-google-play-turned-android-phones-i…
[2]https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-proxylib-and-lumiapps-tra…
 

کشف آسیب‌پذیری در wolfSSL

تاریخ ایجاد

دو آسیب‌پذیری با شناسه‌های CVE-2024-2873 و شدت بحرانی (9.1) و CVE-2024-0901 و شدت بالا (7.5) برای wolfSSL کشف شده است که جزئیات آن‌ها به شرح ذیل می‌باشد:

1- آسیب‌پذیر با شناسه CVE-2024-2873 مربوط به wolfSSH's server-side state machine است که در صورت بهره‌برداری به مهاجم اجازه می‌دهد تا بدون احراز هویت، دسترسی غیرمجاز به دست آورد. 

2- آسیب‌پذیر با شناسه CVE-2024-0901 مربوط اجرای راه دور یک خطای تقسیم‌بندی (SEGV) و خواندن خارج از محدوده است که به فرستنده بسته مخرب این امکان را می‌دهد با ارسال بسته‌ای مخرب با طول صحیح، باعث از کار افتادن یا تحریک خواندن خارج از محدوده wolfSSL شود. به طور خاص، این نقص یک تهدید برای سیستم هایی است که از TLS 1.3 در سمت سرور استفاده می کنندکه ممکن است حمله انکار سرویس و خواندن خارج از محدوده (out-of-bounds read) رخ دهد.

بر اساس بردار حمله این آسیب‌پذیری‌ها (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) بهره‌برداری از آن‌ها از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله، حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: L)  و به تعامل با کاربر نیاز ندارد (UI:N).  بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و دو ضلع از سه ضلع امنیت، با شدت بالایی تحت تاثیر قرار می‌گیرند.

محصولات تحت تأثیر
نقص با شناسه CVE-2024-2873 نسخه 1.4.16  و تمامی نسخه‌های ماقبل این نسخه از wolfSSH's server-side state machine  را تحت تأثیر قرار می‌دهد.
نقص با شناسه CVE-2024-0901 از نسخه 3.12.2 تا 5.6.6 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
برای نقص با شناسه CVE-2024-0901 به کاربران توصیه می‌شود به نسخه 5.7.0 به‌روزرسانی کنند.
برای نقص با شناسه CVE-2024-2873 به کاربران توصیه می‌شود به نسخه 1.4.17 به‌روزرسانی کنند.


منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-0901 
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-2873 
 

کشف آسیب‌پذیری در افزونه Digits

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-0203 و شدت متوسط (8.8) در افزونه Digits وردپرس کشف شده است. این آسیب‌پذیری به دلیل عدم وجود اعتبارسنجی nonce در تابع digits_save_settings در افزونه Digits رخ می‌دهد. این نقص به مهاجمان غیرمجاز اجازه می‌دهد تا با فریب مدیر سایت برای کلیک بر روی یک لینک مخرب، نقش پیش‌فرض کاربران ثبت‌شده را تغییر داده و سطح دسترسی آنها را ارتقاء دهند.

محصولات تحت‌تاثیر
این نقص امنیتی تمام نسخه‌های افزونه Digits وردپرس تا نسخه  8.4.1 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
جهت رفع این نقص امنیتی، به کاربران توصیه می‌‎شود افزونه Digits را به آخرین نسخه موجود (حداقل 8.4.2) به‌روزرسانی کنند.


منابع‌خبر:


[1]  https://github.com/advisories/GHSA-g295-36ch-j742
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-0203