آسیب‌پذیری‌های حیاتی در افزونه‌های فروشگاهی وردپرس

تاریخ ایجاد

یک آسیب‌پذیری به شماره شناسه CVE-2024-8030 و شدت ۹.۸ که یک نقص بحرانی در افزونه‌های Ultimate Store Kit Elementor Addons، Woocommerce Builder، EDD Builder، Elementor Store Builder، Product Grid، Product Table و Woocommerce Slider کشف شده است. این آسیب‌پذیری به مهاجمان غیرمجاز امکان تزریق اشیاء PHP از طریق deserialization ورودی‌های نامعتبر از طریق کوکی _ultimate_store_kit_wishlist را می‌دهد. نبود زنجیره POP در خود افزونه به این معنی است که آسیب‌پذیری با توجه به حضور افزونه‌ها یا تم‌های اضافی در سیستم هدف، قابل بهره‌برداری است. در صورت وجود زنجیره POP، مهاجم می‌تواند فایل‌های دلخواه را حذف کند، به داده‌های حساس دسترسی پیدا کند، یا کد دلخواه را اجرا کند.

محصولات تحت‌تأثیر
این آسیب‌پذیری تمام محصولات زیر را تا نسخه‌های 2.0.3 تحت‌تاثیر قرار می‌دهد:
    •    Ultimate Store Kit Elementor Addons
    •    Woocommerce Builder
    •    EDD Builder
    •    Elementor Store Builder
    •    Product Grid
    •    Product Table
    •    Woocommerce Slider
 

توصیه‌های امنیتی
مطمئن شوید که افزونه‌های تحت تأثیر را به نسخه‌هایی بالاتر از 2.0.3 که این آسیب‌پذیری در آن‌ها رفع شده است، به‌روزرسانی کرده‌اید.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-8030

کشف آسیب‌پذیری در Tenda G3

تاریخ ایجاد

به‌تازگی یک آسیب‌پذیری به شماره شناسه CVE-2024-8225 و شدت ۸.۹ در نسخه 15.11.0.20 از دستگاه Tenda G3 شناسایی شده است. این آسیب‌پذیری در تابع formSetSysTime فایل /goform/SetSysTimeCfg رخ می‌دهد و به دلیل یک سرریز بافر مبتنی بر پشته به وجود می‌آید که می‌تواند از طریق دستکاری آرگومان sysTimePolicy فعال شود. این نقص امنیتی به مهاجمان اجازه می‌دهد تا از راه دور کد دلخواه را روی سیستم آسیب‌دیده اجرا کنند که می‌تواند منجر به کنترل کامل دستگاه شود.

محصولات تحت‌تأثیر
این آسیب‌پذیری به طور خاص مدل Tenda G3 با نسخه 15.11.0.20 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
تاکنون راهکاری برای رفع این آسیب‌پذیری ارائه نشده است اما پیشنهاد می‌شود که اقدامات زیر انجام گیرد:
•    دسترسی به پورت‌ها و سرویس‌های غیرضروری را محدود کنید. اطمینان حاصل کنید که تنها ترافیک مورد نیاز به دستگاه‌ها اجازه دسترسی دارد.
•    دسترسی از راه دور به رابط‌های مدیریتی دستگاه‌ها را محدود کرده و از مکانیزم‌های احراز هویت قوی استفاده کنید. 

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-8225

کشف آسیب‌پذیری در اپلیکیشن XiaomiGetApps

تاریخ ایجاد

یک آسیب‌پذیری به شماره شناسه CVE-2024-45346 و شدت ۸.۸ که یک ضعف امنیتی در اپلیکیشن XiaomiGetApps است کشف شده است. این آسیب‌پذیری به دلیل نقص در منطق تایید اعتبار رخ می‌دهد. منطق تایید اعتبار، که معمولاً برای اطمینان از دسترسی معتبر کاربران به منابع محافظت‌شده استفاده می‌شود، در این مورد به گونه‌ای طراحی شده است که مهاجمان می‌توانند آن را دور بزنند. به عبارت دیگر، مهاجم بدون اینکه نیاز به احراز هویت یا ورود به سیستم داشته باشد می‌تواند با بهره‌برداری از این آسیب‌پذیری کد مخرب را از راه دور اجرا کند.

محصولات تحت‌تأثیر
این آسیب‌پذیری در نسخه 30.2.7.0 وجود دارد.

توصیه‌های امنیتی
بروزرسانی به نسخه 30.6.0.2 موجب رفع آسیب‌پذیری فوق می‌شود.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-45346

سوء استفاده بدافزار لینوکسی Sedexp از قوانین udev در جهت ناشناخته ماندن

تاریخ ایجاد

اخیرا یک بدافزار لینوکسی به نام 'sedexp' شناسایی شده است که از سال ۲۰۲۲ به صورت مخفیانه با استفاده از تکنیک جدیدی که هنوز در چارچوب MITRE ATT&CK قرار نگرفته از شناسایی فرار می‌کند. این بدافزار به مهاجمان اجازه می‌دهد تا از راه دور به سیستم قربانی دسترسی پیدا کنند و هدف اصلی آن جمع‏آوری اطلاعات کارت‏های اعتباری است. محققان اشاره می‌کنند که این بدافزار از سال ۲۰۲۲ به‌طور فعال مورد استفاده قرار گرفته است. پیش از این، تنها دو موتور آنتی-ویروس توانسته بودند سه نمونه sedexp را به عنوان فایل مخرب شناسایی کنند.
بدافزار با نام kdevtmpfs در سیستم اجرا می‎‏شود که مشابه نام یک فرایند سیستمی معتبر است. به این ترتیب شناسایی آن با استفاده از روش‌های متداول را دشوارتر می‌سازد. تکنیک استفاده شده در این بدافزار برای کسب ماندگاری در سیستم استفاده از قوانین udev است.
Udev یک مدیر دستگاه‌های جانبی برای کرنل لینوکس است. در فـایـل سیـستم لـیـنوکس، شـاخـه‌ای بـه نام /dev وجود دارد که در آن تمامی ابزارهای سخت‏افزاری سیستم لیست شده‌اند. برای مثال پارتیشن‌های دیسک سـخـت یــا درایـوهای CD-ROM با نشانی dev/hdX/ در این شاخه وجود دارند. قوانین udev، فایل‌های پیکربندی متنی هستند که تعیین می‌کنند مدیر چگونه باید با دستگاه‌ها یا رویدادهای خاص برخورد کند. این فایل‌ها در مسیر '/etc/udev/rules.d/' یا '/lib/udev/rules.d/' قرار دارند. این قوانین شامل سه پارامتر هستند:
•    عملیات مورد نظر ("ACTION== "add)
•    نام دستگاه ("KERNEL== "sdb1)
•    و اینکه چه اسکریپتی باید هنگام برآورده شدن شرایط مشخص اجرا شود ("RUN+="/path/to/script).
 

بدافزار sedexp قانون udev زیر را بر روی سیستم‌های قربانی اضافه می‌کند:
ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"
هرگاه دستگاه جدیدی به سیستم اضافه شود این قانون فعال می‌شود و شرایط زیر را بررسی می‏کند:  
•    آیا مقدار ENV{MAJOR}، 1 است (این حالت مربوط به دستگاه‏هایی مانند /dev/mem, /dev/null, و  /dev/zero است.)
•    سپس بررسی می‏کند آیا مقدار ENV{MINOR} عدد 8 است (این حالت مربوط به /dev/random است.)

در صورتی که این شرایط برقرار بود اسکریپت بدافزار asedexpb را اجرا می‌کند. این قانون تضمین می‏کند هرگاه dev/random/ در سیستم اجرا شود بدافزار اجرا می‏شود. dev/random/ یک جزء اساسی سیستم در لینوکس است و بسیاری از پردازه‏ها و برنامه‏ها برای اجرای عملیات رمزنگاری، ارتباطات امن و تولید اعداد تصادفی از آن استفاده می‏کنند. این فایل در هر مرتبه ریبوت سیستم عامل بارگذاری می‏شود و بنابراین ماندگاری بدافزار در سیستم را تضمین می‏کند.  
علاوه بر این، بدافزار قابلیت دستکاری در حافظه را دارد تا فایل‏هایی که sedexp دارند را از نتیجه فرمان‏های ls و find حذف کند و به این ترتیب فرایند شناسایی را دشوارتر کند.
اطلاعات سه نمونه از این بدافزار که تاکنون شناسایی شده به شرح زیر است:

SHA256    43f72f4cdab8ed40b2f913be4a55b17e7fd8a7946a636adb4452f685c1ffea02
SHA256    94ef35124a5ce923818d01b2d47b872abd5840c4f4f2178f50f918855e0e5ca2
SHA256    b981948d51e344972d920722385f2370caf1e4fac0781d508bc1f088f477b648

منبع خبر:


https://cybersecuritynews.com/linux-malware-sedexp

کشف آسیب‌پذیری در Tenda

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-8231 و شدت 8.7 (بحرانی) در Tenda O6 1.0.0.7(2054) کشف شده است. متغیر  v2، v3، v4، v6  پارامترهای  ip، localPort، publicPort، برنامه را با درخواست POST دریافت می کند وکاربر می‌تواند ورودی این پارامترها را کنترل کند و باعث سرریز بافر شود براساس بردار حمله این آسیب‌پذیری CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و چندان به شرایط خاصی نیاز نیست(AC:L)، حمله موفقیت‌آمیز به شرایط استقرار و اجرای سیستم آسیب‌پذیر بستگی ندارد (AT:N)، مهاجم برای انجام حمله نیازبه حساب کاربری با سطح دسترسی پایین دارد (PR:L) و به تعامل با کاربر نیاز ندارد (UI:N)، محرمانگی کاملاً از بین می‌رود و در نتیجه تمام اطلاعات موجود در سیستم آسیب‌پذیر در اختیار مهاجم قرار می‌گیرد، از طرف دیگر، دسترسی تنها به برخی از اطلاعات محدود به دست می‌آیدو اطلاعات افشا شده تأثیر مستقیم و جدی دارد. VC:H))، از دست دادن کامل یکپارچگی و پروتکل‌های امنیتی وجود دارد. (VI:H)، مهاجم می‌تواند با دسترسی کامل به منابع موجود در سیستم آسیب‌پذیر برخی از دسترسی ها را از بین ببرد والبته پیامد مستقیم و جدی را برای سیستم آسیب‌پذیر ایجاد کند( VA:H)، از دست دادن یکپارچگی در سیستم بعدی وجود ندارد واینکه تنها به سیستم آسیب‌پذیر محدود می‌شود( SI:N)وهیچ تاثیری بر در دسترس بودن آن وجود ندارد ( SA:N).

محصولات تحت تأثیر
این آسیب‌پذیری تابع VirtualSet فایل /goform/setPortForward  را تحت تأثیر قرار می‌دهد.

منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-8231
[2] https://github.com/abcdefg-png/AHU-IoT-vulnerable/blob/main/Tenda/web-bridge/O6V3.0/fromVirtualSet…

کشف آسیب‌پذیری بحرانی در ATISolutions CIGES

تاریخ ایجاد

یک آسیب‌پذیری به شماره شناسه CVE-2024-8161  و شدت ۹.۸ که یک نقص امنیتی بحرانی در نرم‌افزار ATISolutions CIGES است شناسایی شده است و به مهاجمین اجازه می‌دهد که از طریق تزریق دستورات SQL به پایگاه داده دسترسی پیدا کنند. این آسیب‌پذیری ناشی از عدم اعتبارسنجی کافی ورودی‌ها است، که به مهاجم امکان می‌دهد تا پرس‌وجوهای دلخواه خود را به پایگاه داده ارسال کند و به اطلاعات حساس دسترسی یابد.

محصولات تحت‌تأثیر
نسخه‌های قبل از 2.15.5 سیستم‌های CIGES تحت تاثیر این آسیب‌پذیری هستند.

توصیه‌های امنیتی
توصیه می‌شود که کاربران نسخه CIGES خود را به آخرین نسخه (2.15.5 یا بالاتر) به‌روزرسانی کنند، زیرا این نسخه شامل اصلاحات لازم برای جلوگیری از این آسیب‌پذیری است. همچنین، اعمال فیلترهای مناسب برای ورودی‌های کاربر و استفاده از مکانیزم‌های امنیتی مانند تزریق‌های آماده (prepared statements) می‌تواند به کاهش خطرات ناشی از SQL Injection کمک کند. مانیتورینگ و بررسی منظم لاگ‌های سیستم نیز می‌تواند به شناسایی و جلوگیری از حملات احتمالی کمک کند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-8161

کشف آسیب‌پذیری بحرانی در فایروال Hillstone Networks Web Application

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2024-8073 و شدت ۹.۸ یک نقص امنیتی بحرانی در فایروال  Hillstone Networks است که ناشی از اعتبارسنجی نامناسب ورودی‌ها می‌باشد. این آسیب‌پذیری به مهاجمین اجازه می‌دهد دستورات مخرب را از راه دور اجرا کنند، که می‌تواند منجر به دسترسی غیرمجاز به سیستم و اطلاعات حساس شود. به دلیل این نقص، مهاجمین می‌توانند به ‌طور کامل کنترل سیستم را به دست بگیرند و عملیات دلخواه خود را اجرا کنند.

محصولات تحت‌تأثیر
این آسیب‌‌‌‌‌‌‌‌‌‌پذیری نسخه‌‌‌‌‌‌‌‌‌‌های 5.5R6-2.6.7 تا 5.5R6-2.8.13 را تحت‌تأثیر قرار می‌دهد.

توصیه‌های امنیتی
آسیب‌‌‌‌‌‌‌‌‌‌پذیری ذکر شده با ارتقاء فایروال به نسخه 5.5R6-2.8.14 و بالاتر رفع می‌‌‌‌‌‌‌‌‌‌شود.

منابع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-8073

کشف آسیب‌پذیری بحرانی در ابزار BYOB

تاریخ ایجاد

BYOB  یک ابزار تحقیقاتی و آموزشی متن‌باز است که به منظور ایجاد و مدیریت بات‌نت‌ها و تست نفوذ طراحی شده است. این ابزار دارای ماژول‌های مختلفی برای انجام فعالیت‌های مخرب مانند استخراج داده‌ها، رمزنگاری فایل‌ها، ضبط صفحه نمایش و بسیاری فعالیت‌های دیگر است. این ابزار در نقطه پایان استخراج اطلاعات (exfiltration endpoint) که به صورت یک سرویس تحت وب در سرور کنترل (C2) پیاده‌سازی شده است دارای آسیب‌پذیری بحرانی نوشتن فایل دلخواه Arbitrary File Write  با شدت ۹.۸ و شناسه  CVE-2024- 4525 است.
در BYOB، نقطه پایان استخراج اطلاعات در فایل api/files/routes.py  پیاده‌سازی شده است. بات‌ها از این نقطه پایان برای ارسال داده‌های استخراج‌شده به سرور C2 استفاده می‌کنند. این داده‌ها می‌تواند شامل اطلاعات محرمانه، رمزهای عبور و اطلاعات شبکه باشد. سرور  C2 با استفاده از تابع   file_add در این فایل داده‌های ارسالی از بات‌ها را دریافت، ذخیره و پردازش می‌کند. به دلیل پیاده‌سازی نادرست مکانیزم‌های اعتبارسنجی ورودی در این تابع مهاجم می‌تواند از طریق ارسال درخواست HTTP با پارامترهای خاص، بدون احراز هویت، فایل‌هایی را به سرور آپلود کرده و به پایگاه داده SQLite دسترسی و فایل‌های موجود شامل داده‌های استخراج شده و لاگ‌ها و غیره را بازنویسی کند.

محصولات تحت تاثیر
نسخه ۲.۰ که آخرین نسخه این ابزار است تحت تاثیر این آسیب‌پذیری قرار دارد.

توصیه‌های امنیتی
با توجه به متن باز بودن ابزار برای آموزش و ارتقاء امنیت سایبری و جلوگیری از بهره‌برداری، باید  به‌روزرسانی و به درستی ایمن‌سازی شود. رعایت موارد زیر در توسعه و سفارشی‌سازی پیشنهاد می‌گردد:
•    برای جلوگیری از دور زدن احراز هویت فقط بات‌های مجاز بتوانند به سرور C2 داده ارسال کنند.
•    برای جلوگیری از آپلود فایل‌های مخرب یا بازنویسی داده‌های مهم، پارامترهای ورودی به درستی اعتبارسنجی گردند.
•    برای انتقال داده‌های حساس از رمزگذاری داده‌ها استفاده گردد.

منبع خبر:

 

https://nvd.nist.gov/vuln/detail/CVE-2024-45256

کشف آسیب‌پذیری بحرانی در برنامه Dell Power Manager

تاریخ ایجاد

به‌تازگی یک آسیب‌‌‌‌‌‌‌‌پذیری بحرانی با شناسه CVE-2024-39576 و شدت 8.8 در برنامه Dell Power Manager کشف شده است. این آسیب‌‌‌‌‌‌‌‌پذیری از نوع اختصاص نادرست سطح دسترسی می‌‌‌‌‌‌‌‌باشد و این امکان را به مهاجمان دارای سطح دسترسی پایین و محلی می‌‌‌‌‌‌‌‌دهد تا کد دلخواه اجرا کنند و سطح دسترسی خود را ارتقا دهند.

محصولات تحت‌تأثیر
این آسیب‌‌‌‌‌‌‌‌پذیری تمامی نسخه‌ها تا نسخه 3.15.0 را تحت‌تأثیر قرار می‌دهد.

توصیه‌های امنیتی
آسیب‌‌‌‌‌‌‌‌پذیری ذکر شده با ارتقاء افزونه به نسخه 3.16.0 و بالاتر رفع می‌‌‌‌‌‌‌‌شود.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-39576

نقص‌های امنیتی بحرانی در افزونه‌های LiteSpeed Cache و The Favicon Generator وردپرس

تاریخ ایجاد

افزونه LiteSpeed Cache  یکی از افزونه‌های قدرتمند وردپرس است که به بهینه‌سازی سرعت و عملکرد سامانه وب کمک می‌کند. این افزونه، با ذخیره صفحات در حافظه نهان (کش) زمان بارگذاری را به‌طور چشمگیری کاهش می‌دهد و فشار روی سرور را کمتر می‌کند. علاوه بر این، امکانات دیگری مانند بهینه‌سازی تصاویر، فشرده‌سازی کدها، پشتیبانی از CDN  و پیش‌بارگذاری حافظه نهان را هم ارائه می‌دهد تا سامانه وب، همیشه سریع و کارآمد باشد. اخیرا یک آسیب‌پذیری با شناسه CVE-2024-28000 و امتیاز CVSS:9.8 در این افزونه کشف شده است که می‌تواند به مهاجمان اجازه دهد بدون نیاز به ورود به سیستم به سطح دسترسی مدیر دست یابند.
این نقص امنیتی ناشی از یک ویژگی شبیه‌سازی کاربر در افزونه است که از یک تابع Hash امنیتی ضعیف استفاده می‌کند. این تابع با یک عدد تصادفی تولید می‌شود که به سادگی قابل حدس زدن است و به همین دلیل مهاجمان به راحتی می‌توانند این مقدار Hash را حدس بزنند. اگر مهاجمی به Hash معتبر دسترسی پیدا کند می‌تواند شناسه خود را به شناسه یک مدیر تغییر دهد و از طریق API وردپرس، یک حساب کاربری جدید با دسترسی مدیر ایجاد نماید.

یک آسیب‌‌‌‌‌‌‌‌‌پذیری بحرانی دیگر با شناسه CVE-2024-7568 و شدت 9.6 در افزونه The Favicon Generator وردپرس کشف شده است. این آسیب‌‌‌‌‌‌‌‌‌پذیری از نوع جعل درخواست میان‌‌‌‌‌‌‌‌‌سایتی و به دلیل عدم اعتبارسنجی یا اعتبارسنجی نادرست عدد یک‌‌‌‌‌‌‌‌‌بار‌‌‌‌‌‌‌‌‌مصرف (nonce) می‌‌‌‌‌‌‌‌‌باشد و این امکان را به مهاجمان احراز هویت نشده می‌دهد تا به وسیله یک درخواست جعلی ارسال شده برای یکی از ادمین‌‌‌‌‌‌‌‌‌های سایت و برای مثال، فریب او برای کلیک کردن بر روی لینکی موجود در این درخواست، فایل‌‌‌‌‌‌‌‌‌های دلخواه را از روی سرور پاک کنند.

محصولات تحت تأثیر
 شناسه CVE-2024-28000: تمامی نسخه‌های افزونه  LiteSpeed Cache به ‌ویژه نسخه‌های قبل از 6.4  و6.3.0.1 تحت تاثیر این آسیب‌پذیری قرار دارند.

شناسه CVE-2024-7568: این آسیب‌پذیری تمامی نسخه‌ها تا نسخه 1.5 را تحت ‌تأثیر قرار می‌دهد.

توصیه‌های امنیتی

شناسه CVE-2024-28000:

  •  به‌روزرسانی: تمامی کاربران باید سریعا افزونه LiteSpeed Cache  را به نسخه 6.4  یا بالاتر به‌روزرسانی کنند.
  •  بررسی لاگ‌های سیستم: کاربران باید لاگ‌های Debug را به دقت بررسی کرده و مطمئن شوند که هیچ Hash مشکوکی در دسترس نیست.
  •  پیش‌گیری از حملات Brute Force: تقویت مکانیزم‌های امنیتی مانند محدود کردن تعداد تلاش‌های ورود به سیستم می‌تواند از حملات Brute Force جلوگیری کند.

شناسه CVE-2024-7568: آسیب‌پذیری مذکور با ارتقاء افزونه به نسخه 2.1 و بالاتر رفع می‌شود.

منابع خبر:


[1] https://thehackernews.com/2024/08/critical-flaw-in-wordpress-litespeed.html

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-7568