نقص امنیتی در نرم‌افزار مدیریت ایمیل Roundcube

تاریخ ایجاد

پژوهشگران امنیتی در نرم‌افزار مدیریت ایمیل Roundcube آسیب‌پذیری XSS کشف را نموده¬اند که به مهاجمان این امکان را می‌دهد تا با اجرای کدهای مخرب جاوا اسکریپت در مرورگر کاربران، اطلاعات حساسی از جمله ایمیل‌ها، لیست مخاطبین و گذرواژه‌ها را سرقت کنند. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجمان اجازه دهد بدون نیاز به احراز هویت، ایمیل‌ها و لیست مخاطبین قربانی را به سرقت برده و حتی از حساب آن¬ها برای ارسال ایمیل استفاده کنند. مهاجمان می‌توانند حتی پس از راه‌اندازی مجدد سیستم هم، به طور مداوم به مرورگر قربانی دسترسی پیدا کنند. سه آسیب‌پذیری امنیتی در Roundcube عبارتند از:

  • CVE-2024-42008: آسیب‌پذیری XSS که از طریق یک پیوست ایمیل مخرب که دارای یک هدر Content-Type خطرناک است به وجود می‌آید و فقط یک کلیک توسط قربانی برای اجرای این آسیب‌پذیری لازم است.
  • CVE-2024-42009: آسیب‌پذیری XSS که ناشی از پردازش پس از پاکسازی محتوای HTML می‌باشد و فقط مشاهده ایمیل توسط قربانی برای بهره‌برداری از این آسیب‌پذیری کافی است.
  • CVE-2024-42010: افشای اطلاعات که به دلیل فیلتر کردن ناکافی CSS به وجود می¬آید و برای بهره‌برداری از آن فقط مشاهده ایمیل کافی است.
     

محصولات تحت تأثیر
 نسخه‌های قبل از  1.6.8 و 1.5.8 نرم‌افزار  Roundcube Webmail آسیب‌پذیر هستند.

توصیه‌های امنیتی
 اعمال بروزرسانی نرم‌افزار Roundcube Webmail به نسخه‌های  1.6.8 و 1.5.8 توصیه می‌شود.
 

منبع خبر:


 https://thehackernews.com/2024/08/roundcube-webmail-flaws-allow-hackers.html

کشف آسیب‌پذیری بحرانی اجرای کد دلخواه در ابزار zabbix

تاریخ ایجاد

"Monitoring Hosts" بخشی از سیستم‌ نظارتی و مدیریت شبکه zabbix است که مسئولیت نظارت بر وضعیت سرورها، دستگاه‌ها، و سایر اجزای شبکه را برعهده دارد. این بخش معمولاً شامل مجموعه‌ای از ابزارها و قابلیت‌ها است که به مدیران شبکه امکان می‌دهد وضعیت سلامت، دسترس‌پذیری، تحلیل پارامترهای عملکردی دستگاه‌های مختلف در شبکه را به صورت  مداوم بررسی کنند در این راستا امکان اجرای اسکریپت‌ها و دستورات خاص برای انجام وظایف مدیریت و نگهداری مانند Ping کردن یک سرور برای بررسی وضعیت دسترسی فراهم شده است.
آسیب‌پذیری  CVE-2024-22116 با شدت 9.9  به بخش اجرای عملیات خودکار (Automated Actions) و مانیتورینگ دسترس‌پذیری و عملکرد (Remote Commands) در Zabbix  به ویژه در سناریوهایی که از اجرای اسکریپت‌ها برای انجام عملیات نظارتی و مدیریتی استفاده می‌شود مرتبط است و در صورتی که توسط یک مدیر با دسترسی محدود به صورت نادرست مورد استفاده قرار گیرد به مهاجم اجازه میدهد تا کدهای دلخواه خود را در زیرساخت‌های شبکه اجرا کند و کنترل کامل سیستم‌ها را بدست آورد یا اطلاعات حساس را سرقت کند. چگونگی وقوع آسیب‌پذیری به صورت زیر است:
1. ورود پارامترهای ناامن:  اگر در اجرای اسکریپت‌ها یا دستورات خودکار، پارامترها به درستی بررسی و تصحیح نشوند، کاربر مدیر با دسترسی محدود می‌تواند از این نقاط ضعف استفاده کرده و حین اجرای ping دستورات مخرب خود را وارد کند.
2. اجرا در سطح دسترسی بالا:  هر گاه دستور ping  در نسخه آسیب‌پذیر با سطح دسترسی مدیر محدود اجرا شود، مهاجم می‌تواند از این آسیب‌پذیری برای دسترسی به بخش‌های حساس سیستم، تغییر تنظیمات مهم و اجرای کدهای دلخواه خود در زیرساخت‌های شبکه استفاده کند.
3. نبود مکانیزم‌های امنیتی:  اگر Zabbix به درستی پیکربندی نشده باشد و مکانیزم‌های امنیتی مانند محدودیت‌های دسترسی، بررسی ورودی‌ها، و محدود کردن دسترسی به اجرای دستورات خاص وجود نداشته باشد، این آسیب‌پذیری می‌تواند توسط مهاجمان بهره‌برداری شود.

محصولات تحت تاثیر
تمامی نسخه‌های نرم‌افزار بین نسخه 6.4.0 تا 6.4.15 (شامل هر دو نسخه) تحت تأثیر این آسیب‌پذیری قرار دارند.
تمامی نسخه‌های نرم‌افزار بین alpha1  7.0.0 تا  rc2 7.0.0 (شامل هر دو نسخه) تحت تأثیر این آسیب‌پذیری قرار دارند. این نسخه‌ها شامل نسخه‌های آزمایشی اولیه (alpha) و نسخه‌های کاندیدای انتشار (rc) می‌شوند.
بسیاری از ابزارهای مانیتورینگ که قابلیت‌های "Monitoring Hosts" و اجرای اسکریپت‌های خودکار را دارند در صورت نبود مکانیزم‌های امنیتی مناسب ممکن است در معرض آسیب‌پذیری‌های مشابه CVE-2024-22116 قرار گیرند.

توصیه‌های امنیتی
ایمن‌سازی ورودی‌ها:  ورودی‌های کاربران در هر قسمتی که کاربران دستوراتی را اجرا می کنند بررسی و فیلتر گردند تا از ورود دستورات مخرب توسط مهاجم جلوگیری شود.
محدود کردن دسترسی: دسترسی به قابلیت اجرای عملیات خودکار و کدها به کاربرانی با دسترسی‌های محدود داده شود.
به‌روز رسانی امنیتی: نرم‌افزار به نسخه‌های ایمن بروزرسانی گردد. نسخه rc1  6.4.16 و تمامی نسخه‌های بعد از آن در شاخه 6.4 ، همچنین نسخه rc3 7.0.0 و تمام نسخه‌های بعد از آن تحت تأثیر این آسیب‌پذیری قرار ندارند.
 

منابع خبر:

[1] https://www.cve.org/CVERecord?id=CVE-2024-22116
[2] https://support.zabbix.com/browse/ZBX-25003

کشف آسیب‌پذیری بحرانی در سرویس Soft AP Daemon

تاریخ ایجاد

به تازگی یک آسیب‌پذیری بحرانی با شناسه CVE-2024-42393 و شدت 9.8 در سرویس Soft AP Daemon  کشف شده است. این آسیب‌پذیری بدین صورت است که اجازه می‌دهد تا یک حمله اجرای کد از راه دور (RCE) احراز هویت نشده انجام گیرد. این آسیب‌پذیری می‌تواند توسط مهاجم به منظور اجرای دستورات دلخواه بر روی سیستم‌عامل زیربنایی مورد بهره‌برداری قرار گیرد، که به طور بالقوه منجر به خطر افتادن کامل سیستم می‌شود.

محصولات تحت‌تأثیر
آسیب‌پذیری مذکور تمامی محصولاتی که از سرویس Soft AP Daemon استفاده می‌کنند را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
هنوز راه‌حلی برای این آسیب‌پذیری ارائه نشده است اما می‌توان جهت جلوگیری از بهره‌برداری توسط مهاجمان، اقدامات زیر را انجام داد:
1. اعمال به‌روزرسانی‌های امنیتی منتشر شده توسط Soft AP Daemon.
2. در صورت امکان، محدود و یا غیرفعال کردن دسترسی به سرویس Soft AP Daemon Service تا زمانی که یک وصله امنیتی در دسترس نباشد.
3. افزایش نظارت بر هرگونه فعالیت مشکوک مربوط به سرویس Soft AP Daemon.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-42393

کشف آسیب‌پذیری در چند افزونه‌ وردپرس

تاریخ ایجاد

افزونه LearnPress یکی از افزونه‌های سیستم مدیریت محتوای وردپرس است که برای ایجاد و مدیریت دوره‌های آموزشی آنلای ، آزمون‌ها و گواهینامه‌ها  استفاده می‌شود. نسخه‌ی 4.2.6.9.3 این افزونه و تمام نسخه‌های قبل از آن به دلیل عدم پاکسازی کافی پارامتر order، تحت تاثیر آسیب‌پذیری تزریق SQL مبتنی بر زمان با شناسه CVE-2024-7548 و شدت 8.8 قرار دارند.
پارامتر order جهت مرتب‌سازی پست‌ها بر اساس تاریخ و عنوان یا نمایش نتایج فیلترهای جستجو به صورت صعودی یا نزولی توسط کاربر وارد می‌شود. این آسیب‌پذیری تنها برای کاربران احراز هویت‌شده‌ای که حداقل دسترسی سطح Contributor (مشارکت‌کننده) یا بالاتر دارند، قابل بهره‌برداری است. در وردپرس کاربران با سطح دسترسی مشارکت کننده امکان انتشار پست و دسترسی به تنظیمات سایت را ندارند اما مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند از طریق دستکاری پارامتر order کوئری‌های مخرب SQL را به پایگاه داده ارسال کند و اطلاعات حساس را استخراج نموده یا دستورات مخرب را اجرا کند.

?orderby=date&order=asc
?orderby=title&order=desc

یک آسیب‌پذیری بحرانی دیگر با شناسه CVE-2024-7350 و شدت 9.8 در افزونه BookingPress وردپرس کشف شده است. این آسیب‌پذیری از نوع دور زدن احراز هویت و به دلیل احراز هویت نادرست این افزونه هنگام تکمیل فرایند رزرو می‌باشد و این امکان را به مهاجمان احراز هویت نشده می‌دهد تا به عنوان کاربران احراز هویت‌شده (از جمله ادمین) در صورتی که به ایمیل ایشان دسترسی داشته باشند وارد سیستم شوند. این بهره‌برداری تنها در صورتی ممکن است که گزینه "Auto login user after successful booking" فعال باشد.

آسیب‌پذیری بحرانی دیگری با شناسه CVE-2024-7492 و شدت 8.8 در افزونه MainWP Child Reports وردپرس کشف شده است. این آسیب‌پذیری از نوع جعل درخواست میان سایتی و به دلیل عدم اعتبارسنجی یا اعتبارسنجی نادرست عدد یک‌بارمصرف (nonce) در تابع network_options_action() می‌باشد و امکان به‌روزرسانی تنظیمات دلخواه را به مهاجمان احراز هویت نشده می‌دهد. این امر می‌‌تواند منجر به ارتقاء سطح دسترسی مهاجم از طریق درخواست جعلی ارسال‌شده برای یکی از ادمین‌های سایت شود.

محصولات تحت تاثیر
در شناسه CVE-2024-7548: نسخه‌ی 4.2.6.9.3 و تمام نسخه های قبل از آن

در شناسه CVE-2024-7350: نسخه‌های 1.1.6 تا 1.1.7

در شناسه CVE-2024-7492: این آسیب‌‌پذیری تمامی نسخه‌ها تا نسخه 2.2 را تحت‌تأثیر قرار می‌دهد و تنها در نمونه‌‌های چندسایتی (multisite) قابل بهره‌‌برداری است.

توصیه‌های امنیتی
در شناسه CVE-2024-7548:  به کاربران توصیه می‌شود افزونه را به نسخه 4.2.6.9.4  به‌روزرسانی کنند.

در شناسه CVE-2024-7350: آسیب‌پذیری ذکر شده با ارتقاء افزونه به نسخه 1.1.8 و بالاتر رفع می‌شود.

در شناسه CVE-2024-7492: این آسیب‌پذیری با ارتقاء افزونه به نسخه 2.2.1 و بالاتر رفع می‌شود.
 

منابع خبر:

 

[1] https://www.cve.org/CVERecord?id=CVE-2024-7548

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-7350

[3] https://nvd.nist.gov/vuln/detail/CVE-2024-7492

آسیب‌پذیری بحرانی اجرای کد دلخواه در نرم‌افزار kibana

تاریخ ایجاد

Kibana نرم‌افزاری پرکاربرد و متن‌باز برای بصری‌سازی (Visualization)، ساخت داشبورد مدیریتی و تجزیه و تحلیل داده‌ها می‌باشد. اخیرا یک آسیب‌پذیری بحرانی با شناسه CVE-2024-37287 و شدت 9.9  در این نرم‌افزار شناسایی شده است که می‌تواند به مهاجمان اجازه دهد تا کدهای دلخواه خود را اجرا کنند.
مهاجمان با دسترسی به ویژگی‌های رابط یادگیری ماشین (ML) و Alerting و همچنین دسترسی نوشتن به ویژگی‌های داخلی ML  می‌توانند پس از دسترسی اولیه، کد دلخواه را اجرا نمایند. این مشکل در هنگام نصب Kibana به صورت خود مدیریتی (Self-Managed) در سیستم‌عامل میزبان بروز می‌کند.

محصولات تحت تأثیر

  • نسخه‌های Kibana   ‌که به صورت مستقل روی سیستم‌عامل‌های میزبان نصب و اجرا می‌شوند.
  • نسخه‌های Kibana که به صورت خودمدیریتی و از طریق Docker  اجرا می‌شوند.
  • نسخه‌های  8.x از Kibana که قبل از نسخه 8.14.2 منتشر شده‌اند و نسخه‌های .x7 از Kibana که قبل از نسخه 7.17.23 منتشر شده‌اند، تحت تاثیر این آسیب‌پذیری قرار دارند.


توصیه‌های امنیتی

  • لازم است فورا Kibana به نسخه‌های جدید  8.14.2 یا 7.17.23 بروزرسانی گردد.


منبع خبر:


https://cybersecuritynews.com/critical-kibana-vulnerability/

رفع آسیب‌پذیری روز صفر در هسته سیستم‌عامل اندروید

تاریخ ایجاد

آسیب‌پذیری روز صفر با شناسه  CVE-2024-36971 در هسته (Kernel) سیستم‌عامل لینوکس یک نقص امنیتی استفاده پس از آزادسازی Use-After-Free  یا UAF در مدیریت مسیرهای شبکه هسته لینوکس است. مهاجمان با استفاده از این نقص می‌توانند رفتار شبکه را به گونه‌ای تغییر دهند که به نفع خودشان باشد اما برای بهره‌برداری از این آسیب‌پذیری باید سطح دسترسی بالایی داشته باشند.
گوگل اعلام کرده است نشانه‌هایی وجود دارد که آسیب‌پذیری با تحت تاثیر قراردادن هسته سیستم‌عامل اندروید، ممکن است به مهاجمان امکان اجرای کد دلخواه و راه دور (RCE) بدون نیاز به تعامل کاربر در دستگاه‌هایی که آخرین بروزرسانی‌های امنیتی را دریافت نکرده‌اند، بدهد.

محصولات تحت تأثیر

  • دستگاه‌های‌ ‌Google Pixel و دستگاه‌های دیگر اندروید تحت تاثیر این آسیب‌پذیری قرار دارند.


توصیه‌های امنیتی

  • اعمال بروزرسانی: اطمینان حاصل شود که دستگاه اندروید به آخرین وصله‌های امنیتی بروزرسانی شده باشد. گوگل دو مجموعه وصله 2024-08-01 و 2024-08-05 را منتشر کرده است.
     

منبع خبر:


https://www.bleepingcomputer.com/news/security/google-fixes-android-kernel-zero-day-exploited-in-ta…

هدف قرار گرفتن متخصصان IT با بدافزار SharpRhino

تاریخ ایجاد

گروه باج‌افزاری Hunters International، با استفاده از بدافزار جدیدی به نام SharpRhino، که یک تروجان دسترسی از راه دور(RAT) نوشته‌شده به زبان C# است، متخصصان فناوری اطلاعات را هدف قرار داده تا به شبکه‌های سازمانی نفوذ کند. این بدافزار به گروه مهاجم کمک می‌کند تا ابتدا وارد سیستم‌های هدف شده، سپس با افزایش دسترسی خود، فرمان‌های PowerShell را اجرا کرده و در نهایت payload باج‌افزار را پیاده‌سازی کند.
محققان گزارش داده‌اند که SharpRhino از طریق یک سایت فیشینگ که یک نمونه‌ی جعلی از وب‌سایت ابزار معتبر اسکن IP به نام Angry IP Scanner است، توزیع می‌شود. این سایت جعلی با استفاده از روش Typosquatting ساخته شده است. Typosquatting به معنی استفاده از نام دامنه‌های جعلی است که با یک خطای تایپی کوچک مشابه دامنه‌های معتبر به نظر می‌رسند. این گروه، در مدت زمان کوتاهی از زمان راه‌اندازی خود، موفق به اجرای چندین حمله‌ی سایبری به تعداد قابل‌توجهی از شرکت‌های مطرح و مهم شده ‌است.
فرآیند انتشار و عملکرد SharpRhino بدین صورت است که بدافزار به ‌عنوان یک نصب‌کننده ۳۲ بیتی با امضای دیجیتال “ipscan-3.9.1-setup.exe” توزیع می‌شود که حاوی یک آرشیو 7z رمزگذاری‌شده است. آرشیو 7z یک فرمت فایل فشرده است. وقتی یک آرشیو 7z رمزگذاری می‌شود، محتوای فایل‌های درون آن با استفاده از یک الگوریتم رمزنگاری (معمولاً AES-256) محافظت می‌شود و بدون داشتن رمز عبور صحیح، دسترسی به محتوای فایل‌ها غیرممکن خواهد بود. مهاجمان از آرشیوهای 7z رمزگذاری‌ شده به عنوان یک روش برای پنهان‌سازی فایل‌های مخرب استفاده می‌کنند. با قراردادن آرشیو در یک نصب‌کننده یا ابزار جعلی، وقتی کاربر فایل نصب را اجرا می‌کند، فایل‌های مخرب  به‌طور مخفیانه و خودکار روی سیستم قربانی اجرا می‌شود و همین ‌مسئله کار را برای نرم‌افزارهای امنیتی و شناسایی تهدید دشوار می‌سازد.
نصب‌کننده “ipscan-3.9.1-setup.exe” برای حفظ دسترسی دائمی، رجیستری ویندوز را تغییر می‌دهد و یک میانبر برای فایل Microsoft.AnyKey.exe ایجاد می‌کند. این فایل که در حالت عادی متعلق به Microsoft Visual Studio است، در این حمله برای اهداف مخرب مورد استفاده قرار می‌گیرد.
علاوه بر این، “ipscan-3.9.1-setup.exe” از فایل‌های دیگری از جمله “LogUpdate.bat” برای اجرای کدهای مخرب به ‌صورت مخفیانه استفاده کرده و از طریق دو دایرکتوری “C:\ProgramData\Microsoft:WindowsUpdater24” و  “C:\ProgramData\Microsoft:LogUpdateWindows” و دو دستور سخت‌کد شده‌ی delay و exit برای ارتباط با سرور عملیات و فرمان (C2) و تنظیم زمان‌بندی درخواست‌های POST بعدی و خاتمه دادن به ارتباط با سرور C2 استفاده می‌کند.
گروهی که بدافزار را کشف کردند، برای امتحان، با استفاده از SharpRhino و اجرای دستورات PowerShell به راحتی توانستند ماشین حساب ویندوز را اجرا و از آن استفاده کنند که نشان‌دهنده‌ی این است که مهاجمان با نصب موفقیت‌آمیز این تروجان، خواهند توانست بسته به سطح دسترسی بدست آمده، کنترل کامل سیستم هدف را بدست بگیرند.

محصولات تحت تاثیر
این بدافزار به‌طور عمده بر روی کارمندان بخش فناوری اطلاعات (IT) متمرکز است، زیرا این افراد دسترسی‌های بالایی به شبکه‌های سازمانی و اطلاعات حساس دارند. بنابراین SharpRhino تهدیدی جدی برای سازمان‌هایی است که در آن‌ها دستیابی به اطلاعات حساس و سطح بالایی از نفوذ به شبکه‌ها می‌تواند تأثیرات گسترده و مخرب داشته باشد.

توصیه‌های امنیتی
با توجه به حملات پیچیده و استفاده از تکنیک‌های جدید، توصیه می‌شود که کاربران و سازمان‌ها دقت بیشتری در دانلود نرم‌افزارها از منابع غیررسمی داشته باشند. همچنین باید اقدامات امنیتی مانند تقسیم‌بندی شبکه، بروزرسانی نرم‌افزارها و ایجاد برنامه‌های پشتیبان‌گیری را به‌منظور کاهش احتمال دسترسی و حرکت جانبی مهاجمان، در نظر بگیرند.
فعال‌سازی مسدودکننده‌های تبلیغات و برخورد محتاطانه دربرابر تبلیغات مخرب (Malvertising) و اجتناب از کلیک روی نتایج جستجوی تبلیغاتی نیز از اهمیت بالایی برخوردار است.
 

منبع خبر:


https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-gang-targets-it-wor…

افزایش بهره‌برداری از سرویس TryCloudflare جهت انتقال بدافزار

تاریخ ایجاد

سرویس TryCloudflare یک ابزار رایگان محصول شرکت Cloudflare است که به کاربران اجازه می‌دهد تا به‌صورت سریع و آسان یک تونل امن (Secure Tunnel) از دستگاه یا سرور خود به اینترنت ایجاد کنند. این تونل به کاربران امکان می‌دهد تا بدون نیاز به پیکربندی پیچیده یا تغییر تنظیمات شبکه، دسترسی راه دور به برنامه‌ها، سرورها و دیگر منابعی که در شبکه محلی قرار دارند را بدست آورند.
اخیرا، شرکت‌های امنیت سایبری از افزایش بهره‌برداری از سرویس رایگان TryCloudflare برای انتقال و تحویل بدافزار خبر داده‌اند. طبق گزارش‌های منتشرشده، مهاجمان با استفاده از این سرویس توانسته‌اند ترافیک خود را از سرورهای تحت کنترل خود به دستگاه‌های قربانی منتقل کرده و از زیرساخت‌های Cloudflare برای مخفی کردن فعالیت‌های مخرب استفاده کنند.
حملات سایبری که با استفاده از این روش انجام شده‌اند، تاکنون منجر به انتقال بدافزارهای متعددی از جمله AsyncRAT، GuLoader، PureLogs Stealer، Remcos RAT، Venom RAT و XWorm شده‌اند. این حملات معمولاً با ارسال ایمیل‌های فیشینگ با طیف گسترده‌ای از موضوعات مانند فاکتورها، درخواست‌های اسناد، تحویل بسته‌ها و مالیات آغاز می‌شوند. این ایمیل‌ها حاوی فایل‌های ZIP هستند که یک فایل URL Shortcut در آن‌ها قرار داده شده ‌است. پس از کلیک کاربر روی این فایل، او به یک فایل میانبر ویندوز (LNK) هدایت می‌شود که بر روی یک سرور WebDAV مستقر است که از طریق TryCloudflare محافظت می‌شود.
فایل‌های LNK یا "Windows Shortcut" فایل‌هایی هستند که توسط ویندوز برای اشاره به فایل‌های اجرایی استفاده می‌شوند. مهاجمان از این فایل‌ها برای اجرای کدهای مخرب استفاده می‌کنند، به‌ این نحو ‌که با کلیک بر روی فایل LNK، کدهای دیگری مانند اسکریپت‌های دسته‌ای (Batch Scripts) اجرا می‌شوند.
 اسکریپت‌ها مسئولیت دریافت و اجرای payloadهای بدافزار را دارند که به زبان پایتون نوشته شده‌اند. در این میان، به منظور فریب کاربر، یک فایل PDF جعلی را نیز نمایش می‌دهند. بسته‌ی پایتون و اسکریپت‌های مرتبط، پس از دانلود بر روی سیستم قربانی اجرا شده و بدافزارهایی مانند AsyncRAT و XWorm را نصب می‌کنند. سپس بدافزار اقدام به جمع‌آوری اطلاعات حساس از شبکه داخلی شرکت کرده و این اطلاعات را از طریق تونل Cloudflare به سرورهای مهاجمان در خارج از شبکه ارسال می‌کند.
محققان اشاره می‌کنند که مهاجمان برای جلوگیری از شناسایی شدن، تکنیک‌های پیچیده‌ای مانند استفاده از syscallهای مستقیم برای دور زدن ابزارهای نظارتی و تزریق کد به روش "Early Bird APC queue injection" و اجرای مخفیانه‌ی بدافزارهای مختلف با کمک لایه‌های کد رمزنگاری‌شده را به کار می‌برند.
تزریق کد به روش "Early Bird APC queue injection"  یک تکنیک است که به مهاجم اجازه می‌دهد تا کد مخرب خود را در مراحل اولیهی اجرای یک برنامه به درون حافظه تزریق کند. به این ترتیب از شناسایی شدن توسط ابزارهای امنیتی جلوگیری می‌شود.
استفاده از تونل‌های موقت Cloudflare به جهت این که شرایطی فراهم می‌کند تا مهاجمان زیرساخت‌های خود را به سرعت ایجاد کرده و از بین ببرند، شناسایی و مسدودسازی حمله‌ را برای مدافعان امنیتی دشوارتر می‌سازد.
همچنین میزبانی فایل‌های مخرب بر روی سرویس Cloudflare به این دلیل که این سرویس شناخته‌شده و معتبر است، باعث می‌شود که ترافیک مرتبط با این فایل‌ها به نظر قانونی و معتبر بیافتد و کمتر مشکوک به نظر برسد.

توصیه‌های امنیتی
با توجه به پیچیدگی و تنوع تکنیک‌های استفاده‌شده در این حملات، توصیه می‌شود که سازمان‌ها دسترسی به سرویس‌های به اشتراک‌گذاری فایل‌های خارجی را به سرورهای مشخص و مجاز محدود کنند. همچنین، لازم است تدابیر امنیتی همچون نظارت بر فعالیت‌های غیرعادی در سیستم و ترافیک شبکه، محدودسازی دسترسی به فایل‌ها و مسیرهای حساس و استفاده از محیط‌های ایزوله‌شده مانند Docker برای اجرای بسته‌های نرم‌افزاری، به منظور جلوگیری از نفوذ بدافزارها و کاهش آسیب‌های احتمالی اتخاذ گردند.
 

منابع خبر:


[1] https://thehackernews.com/2024/08/cybercriminals-abusing-cloudflare.html
[2] https://www.bleepingcomputer.com/news/security/hackers-abuse-free-trycloudflare-to-deliver-remote-a…

کشف آسیب‌پذیری در Apache InLong

تاریخ ایجاد

Apache InLong یک پروژه منبع باز است که برای مدیریت و پردازش جریان داده‌های بزرگ طراحی شده است. این پروژه برای تجزیه و تحلیل داده‌های بزرگ، مدیریت داده‌های توزیع‌شده، نظارت بر عملکرد سیستم‌ها و پردازش داده‌های تولید شده توسط دستگاه‌های اینترنت اشیاء (IoT) کاربرد دارد.
اخیراً یک آسیب‌پذیری خطرناک در Apache InLong با شناسه CVE-2024-36268 شناسایی شده است که یک نقص امنیتی تزریق کد (Code Injection) می‌باشد. این آسیب‌پذیری که از عدم اعتبارسنجی صحیح ورودی‌ها ناشی می‌شود، به دلیل امکان اجرای کدهای دلخواه از راه دور (RCE) توسط مهاجمان، بسیار خطرناک ارزیابی شده‌ است. این نوع حمله به مهاجمان دسترسی کامل به سیستم قربانی را می‌دهد و می‌تواند به دسترسی غیرمجاز به داده‌ها، تغییرات در سیستم، و حتی کنترل کامل سرور منجر شود. علاوه بر این، افشای اطلاعات حساس، تغییر یا حذف داده‌ها، و اختلال در سرویس‌های حیاتی از دیگر اثرات بالقوه این آسیب‌پذیری است که می‌تواند تأثیرات گسترده‌ای بر سیستم‌های آسیب‌پذیر داشته باشد.
 

محصولات تحت تاثیر
این آسیب‌پذیری در نسخه‌های Apache InLong از 1.10.0 تا 1.12.0 وجود دارد.

توصیه‌های امنیتی
برای کاهش تهدید این آسیب‌پذیری، به‌روزرسانی هرچه سریعتر به نسخه‌های Apache InLong 1.13.0 و بالاتر توصیه می‌گردد.
 

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-36268

کشف آسیب‌پذیری در openstack-heat

تاریخ ایجاد

آسیب‌پذیری CVE-2024-7319 در openstack-heat به دلیل وصلة ناقص برای آسیب‌پذیری قبلی CVE-2023-1625 رخ داده است که امکان افشای اطلاعات حساس از طریق دستور OpenStack stack abandon را فراهم می‌کند. با وجود اعمال وصلة قبلی، مهاجمان هنوز هم می‌توانند با تنظیم ویژگی hidden روی True در این دستور، به اطلاعات حساس دسترسی پیدا کنند. این آسیب‌پذیری با شدت CVSS v3: 7.4 (بالا) ارزیابی شده است و می‌تواند منجر به حملات دیگری مانند دسترسی غیرمجاز به سیستم شود.

محصولات تحت‌تأثیر
نسخه‌های زیر تحت‌تأثیر این آسیب‌پذیری هستند:
•    13
•    16.1
•    16.2
•    17.0

توصیه‌های امنیتی
•    به ‌محض انتشار وصله کامل برای CVE-2024-7319 توسط توسعه‌دهندگان OpenStack، سیستم خود را به نسخه اصلاح‌شده ارتقا دهید.
•    تا زمان انتشار وصله کامل، از تنظیم ویژگی hidden روی True در دستور OpenStack stack abandon خودداری کنید.

منابع خبر:


[1]    https://nvd.nist.gov/vuln/detail/CVE-2024-7319
[2]    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-7319
[3]    https://access.redhat.com/security/cve/CVE-2024-7319