کشف آسیب‌پذیری در نرم‌افزار اگزیم (Exim)

تاریخ ایجاد

یک آسیب‌پذیری با شدت متوسط (5.4) و شناسه‌ CVE-2024-39929 در نرم‌افزار اگزیم Exim (Experimental Internet Mailer) که نرم‌افزاری open source جهت ارسال یا دریافت ایمیل در سیستم‌عامل‌های Linux و Unix می‌باشد،  کشف شده است. از طریق این آسیب‌پذیری، نام فایل هدر RFC 2231  اشتباه تجزیه خواهد شد و مهاجم از راه دور می‌تواند مکانیزم حفاظتی مربوط به انسداد پسوند $mime_filename را دور بزند و فایل‌های پیوستی قابل اجرا را به صندوق ورودی کاربر ارسال کند؛ زیرا نام فایل به درستی تجزیه نشده است و آخرین قسمت مربوط به نام فایل را حذف می‌کند.
بر اساس بردار حمله این آسیب‌پذیری  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N  بهره‌برداری از آن از شبکه خارجی امکان‌پذیر نیست. مهاجم باید از راه دور (از طریق پروتکلی مانند SSH یا RDP) به سیستم دسترسی داشته باشد، یا نیاز به استفاده از مهندسی اجتماعی یا تکنیک‌های دیگر جهت فریب کاربر ناآگاه برای کمک به شروع بهره‌برداری دارد. (AV:N)، بهره‌برداری از آن نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L) ، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، به تعامل با کاربر نیز نیاز دارد (UI:R)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:U) و دو ضلع از سه ضلع امنیت با شدت پایینی تحت تأثیر قرار می‌گیرد.


محصولات تحت تأثیر
 نسخه 4.97.1 نرم‌افزارExim  تحت تأثیر این آسیب‌پذیری قرار دارند.

 توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت، نرم‌افزار Exim خود را به نسخه 4.98 ارتقاء دهند.

منابع خبر:


[1]https://nvd.nist.gov/vuln/detail/CVE-2024-39929
[2]Bug 3099 – Incorrect parsing of multiline rfc2231 header filename (exim.org)

کشف آسیب‌پذیری در افزونه HUSKY

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-6457  و شدت ۹.۸ (بحرانی) در افزونهHUSKY وردپرس که افزونه‌ای جهت فیلتر کردن محصولات در WooCommerce می‌باشد، کشف شده است. آسیب‌پذیری مذکور نوعی تزریق کد SQL مبتنی بر زمان است که با استفاده از پارامتر woof_author رخ می‌دهد و این امکان را برای مهاجم احراز هویت نشده فراهم می‌کند تا کوئری‌های SQL اضافی را به کوئری‌های موجود اضافه کند که می‌تواند منجر به استخراج اطلاعات حساس از پایگاه‌داده شود. 
مهاجمان می‌توانند از این آسیب‌پذیری برای موارد زیر بهره‌برداری کنند:

  • سرقت اطلاعات حساس از پایگاه‌داده، مانند نام کاربری، رمز عبور و اطلاعات مشتریان
  • دست‌کاری داده‌ها در پایگاه‌داده
  • اجرای دستورات دلخواه در سرور


محصولات تحت‌تأثیر
نسخه‌های ۱.۳.۶ و پایین‌تر افزونهHUSKY وردپرس آسیب‌پذیر می‌باشند.

توصیه امنیتی

  • اعمال به‌روزرسانی افزونه HUSKY  : به‌روزرسانی افزونه HUSKY به نسخه ۱.۳.۷ یا بالاتر.
  • نصب افزونه امنیتی: نصب یک افزونه امنیتی مانند Wordfence یا Sucuri Security جهت اسکن و شناسایی آسیب‌پذیری‌ها در وردپرس.
  • ایجاد نسخه پشتیبان از پایگاه‌داده: به طور مرتب از پایگاه‌داده خود نسخه پشتیبان تهیه کنید تا در صورت حمله بتوانید آن را بازیابی کنید.


منابع خبر:


[1]    https://nvd.nist.gov/vuln/detail/CVE-2024-6457
[2]    https://plugins.trac.wordpress.org/browser/woocommerce-products-filter/trunk/ext/by_author/index.ph…
[3]    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6457

کشف آسیب‌پذیری اجرای کد در مرورگر کروم

تاریخ ایجاد

چندین آسیب‌پذیری در مرورگر گوگل کروم کشف شده  است که می‌تواند توسط مهاجم منجر به اجرای دلخواه کد شود. این آسیب‌پذیری‌ها به مهاجمان امکان می‌دهد تا در صورت بهره‌برداری موفق، برنامه‌های مختلف را نصب و آن‌ها را پیکربندی کرده، داده‌ها را مشاهده، تغییر یا حذف نماید و یا حتی حساب‌های کاربری جدید با بالاترین دسترسی(مانند حساب های مدیریتی)  ایجاد نمایند.  این آسیب‌پذیری‌ها در موتور جاوا اسکریپت، ضبط صفحه ‌نمایش، جریان رسانه، صوت، پیمایش و ابزارهای توسعه‌دهنده گوگل کروم وجود دارند که شدید ترین آن‌ها می‌تواند منجر به اجرای کد  دلخواه شود. جزئیات این آسیب‌پذیری‌ها به شرح زیر هست:

  • CVE-2024-6772: نقص در پیاده‌سازی  V8 
  • CVE-2024-6773: اشتباه در تشخیص نوع V8 
  • CVE-2024-6774: استفاده پس از آزادسازی در Screen Capture 
  • CVE-2024-6775: استفاده پس از آزادسازی در Streamها 
  • CVE-2024-6776: استفاده پس از آزادسازی در صوت 
  • CVE-2024-6777: استفاده پس از آزادسازی در Navigation 
  • CVE-2024-6778: مسابقه در ابزارهای توسعه (DevTools)  
  • CVE-2024-6779: دسترسی به حافظه خارج از محدوده درV8  

محصولات تحت تأثیر

  • نسخه‌های کروم قبل از  126.0.6478.182/183در سیستم‌عامل ویندوز و مک.
  • نسخه‌های کروم قبل از 126.0.6478.182 در سیستم‌عامل لینوکس.
  • کلیه نهاد های دولتی و کسب و کارها با هر سطحی در معرض آسیب‌پذیری مذکور قرار دارند.


توصیه‌های امنیتی 

  • به‌روزرسانی نرم‌افزار: فورأ در محصولات آسیب‌پذیر گوگل کروم به‌روزرسانی‌های مناسب اعمال گردد. 
  • به‌روزرسانی خودکار وصله‌های نرم‌افزاری: به‌روزرسانی‌های نرم‌‌افزاری به صورت خودکار و حداقل ماهانه روی دارایی‌های سازمانی اعمال گردد.
  • رفع آسیب‌پذیری‌های شناسایی شده: آسیب‌پذیری‌های شناسایی شده در نرم‌افزارها حداقل ماهانه بر اساس فرآیند رفع آسیب‌پذیری برطرف گردد.
  • اطمینان استفاده از مرورگرها و کلاینت‌های ایمیل پشتیبانی‌شده: سازمان باید مطمئن شود کاربران تنها از نسخه‌های رسمی و به‌روز مرورگرها و کلاینت‌های ایمیل استفاده می‌کنند.
  • استفاده از اصل حداقل دسترسی‌‌ها: هر کاربر، برنامه یا فرآیند، فقط حداقل دسترسی‌‌های مورد نیاز برای انجام وظایف خود داده شود. محدود کردن دسترسی‌ها به حداقل ممکن کمک می‌کند تا در صورت نفوذ مهاجم، آسیب‌ها و خسارت‌ها، به جداقل کاهش یابد.
  • محدود کردن و کنترل محتوای وب: محدود کردن دسترسی به وب‌سایت‌های خاص و مسدود کردن دانلود فایل‌ها و پیوست‌ها و مسدود کردن اجرای جاوا اسکریپت و محدود کردن استفاده از افزونه‌های مرورگر.
  • آموزش و آگاه‌سازی کاربران در خصوص تهدیدات ناشی از لینک‌های Hypertext در ایمیل‌ها یا پیوست‌ها، به ویژه از منابع غیرقابل اعتماد و ایجاد و حفظ برنامه آگاه‌سازی امنیتی سازمان


منبع خبر:


https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbit…
 

رفع آسیب‌پذیری بحرانی در Cisco Secure Email Software

تاریخ ایجاد

شرکت سیسکو یک آسیب‌‌پذیری بحرانی را برطرف کرده است که به مهاجمان اجازه می‌دهد کاربران جدیدی با دسترسی Root ایجاد کنند و دستگاه‌های درگاه امنیت ایمیل (SEG) را با استفاده از ایمیل‌های حاوی پیوست‌های مخرب به طور دائمی از کار بیندازند. این آسیب‌پذیری که با شناسه CVE-2024-20401 ثبت شده است سبب دسترسی به فایل دلخواه در ویژگی‌های اسکن محتوا و فیلترینگ پیام SEG می‌شود. آسیب‌پذیری مذکور، ناشی از یک ضعف مسیریابی مطلق در چگونگی مدیریت پیوست‌های ایمیل هنگام فعال بودن تجزیه و تحلیل فایل و فیلترهای محتوا است و بر روی دستگاه‌هایی تأثیر می‌گذارد که نسخه آسیب‌پذیر Cisco AsyncOS  را نصب کرده‌اند و همچنین ویژگی تحلیل فایل Cisco Advanced Malware Protection یا ویژگی فیلتر محتوا فعال باشد. 


محصولات تحت تأثیر

  • دستگاه‌هایی که Cisco Security Email Gateway (SEG)  را اجرا می‌کنند.
  • Cisco AsyncOS   
  • Cisco Content Scanner Tools  نسخه‌های قبل از 23.3.0.4823
  • Cisco Advanced Malware Protection  


توصیه‌های امنیتی 

  • اگر دستگاه‌های SEG از نسخه آسیب‌پذیر Cisco AsyncOS استفاده می‌کنند و همچنین ویژگی تجزیه و تحلیل فایل یا ویژگی فیلتر محتوا فعال است باید سریعأ به نسخه 23.3.0.4823 یا بالاتر از Content Scanner Tools ارتقاء یابد. برای رفع این آسیب‌پذیری نسخه وصله‌شده Cisco Content Scanner Tools به صورت پیش فرض در Cisco AsyncOS  برای نسخه‌های 15.5.1-055 و بالاتر نرم‌افزار Cisco Secure Email گنجانده شده است. بنابراین توصیه می شود محصول خود را هرچه سریع‌تر به نسخه 15.5.1-055 یا بالاتر از AsyncOS ارتقا دهید. 
  • غیرفعال‌سازی ویژگی‌های آسیب‌پذیر: در صورت عدم امکان اعمال به‌روزرسانی، مدیران سازمان باید ویژگی‌های تحلیل فایل بخشی از Cisco Advanced Malware Protection  و ویژگی فیلتر محتوا را که به یک سیاست ورودی ایمیل اختصاص داده شده‌اند غیرفعال کنند تا این آسیب‌پذیری را خنثی سازند.
  • آموزش کاربران: کاربران باید درباره خطرات ناشی از پیوست‌های مخرب ایمیل و اهمیت اعمال به‌روزرسانی نرم‌افزارها آموزش ببینند.
  • پشتیبان‌گیری و بازیابی اطلاعات: مدیران باید به ‌طور مرتب از اطلاعات مهم سیستم‌ها پشتیبان‌‌گیری کرده و روش‌های بازیابی در صورت بروز حمله را آماده کنند.


منبع خبر:


https://www.bleepingcomputer.com/news/security/critical-cisco-bug-lets-hackers-add-root-users-on-se…

کشف آسیب‌پذیری بحرانی در برنامه Electronic Official Document Management System

تاریخ ایجاد

به‌تازگی یک آسیب‌پذیری با شدت 8.8 و شناسه CVE-2024-6737 در برنامه Electronic Official Document Management System شرکت 2100 TECHNOLOGY کشف شده است. این آسیب‌پذیری به دلیل وجود نقص در پیاده‌سازی سیستم مدیریت دسترسی می‌باشد و از راه‌دور به مهاجمانی  که دارای دسترسی عادی‌ هستند، امکان دسترسی به تنظیمات حساب کاربری و ساخت حساب اربری با سطح دسترسی ادمین را می‌دهد.

محصولات تحت‌تأثیر
این آسیب‌پذیری تمامی نسخه‌های پیش از 5.0.77 برنامه Electronic Official Document Management System را تحت‌تأثیر قرار می‌دهد.

توصیه‌های امنیتی
با به‌روزرسانی نسخه برنامه Electronic Official Document Management System به 5.0.77 یا بالاتر این نقص امنیتی رفع می‌شود.

منبع خبر:



https://nvd.nist.gov/vuln/detail/CVE-2024-6737

کشف آسیب پذیری بحرانی در VMWare Aria Automation

تاریخ ایجاد

VMware نقص امنیتی بحرانی SQL-Injection را در محصول Aria Automation با شناسه CVE-2024-22280 برطرف کرده است.  با استفاده از این  آسیب‌پذیری،  مهاجم احراز هویت‌شده می‌تواند با وارد کردن کوئری‌های یک SQL خاص از این نقص امنیتی بهره‌‌برداری کرده و به صورت غیرمجاز، پایگاه داده عملیات خواندن یا نوشتن را انجام دهد.
پیش از این،  VMwareیک آسیب‌پذیری بحرانی با شناسه CVE-2023-34063 و شدت  CVSS 9.9  را  بر روی این پلتفرم برطرف کرده بود که مهاجم احراز هویت‌شده، با بهره‌برداری از آن می‌تواند از راه دور منجر به ایجاد دسترسی غیرمجاز در شبکه سازمان‌ها شود. VMware Aria Automation یک پلتفرم مدرن برای اتوماسیون ابری است که به ساده‌سازی و بهبود فرآیندهای استقرار و مدیریت و بر زیرساخت‌ها و برنامه‌های ابری می‌پردازد و به سازمان اجازه می‌دهد وظایف مختلف را در محیط‌های ابری مختلف به صورت خودکار انجام دهد. 

محصولات تحت تأثیر

  • نسخه 8.x از VMware Aria Automation
  • نسخه‌های 4.x  و 5.x از Cloud Foundation

توصیه‌های امنیتی 

  • اعمال به‌روزرسانی: اطمینان حاصل شود که VMware Aria Automation و VMware Cloud   Foundation  به آخرین نسخه‌های موجود به‌روزرسانی شده است.
  • مدیریت دسترسی‌ها: اعمال سیاست‌های دسترسی صحیح به سیستم‌‌ها و بانک¬های اطلاعاتی جهت جلوگیری دسترسی‌های غیرمجاز.
  • مانیتورینگ و نظارت: داشتن نظارت مداوم بر فعالیت‌های سامانه¬ها و زیرساخت سازمان و نصب سیستم‌های ثبت وقایع به منظور شناسایی سریع‌ترین حملات و نقض‌های امنیتی موجود.


منبع خبر:


https://securityaffairs.com/165560/security/vmware-aria-automation-critical-sql-injection.html
 

کشف آسیب‌پذیری بحرانی در مادربردهای Supermicro

تاریخ ایجاد

به تازگی یک آسیب‌‌‌‌‌‌‌‌پذیری بحرانی با شناسه CVE-2024-36435 و شدت 9.8 در برخی از مادربردهای Supermicro  کشف شده است. در این آسیب‌پذیری مهاجم احراز هویت نشده می‌‌‌‌‌‌‌‌تواند داده‌‌‌‌‌‌‌‌های دستکاری‌‌‌‌‌‌‌‌شده که موجب سرریز بافر پشته می‌‌‌‌‌‌‌‌شود را به رابطی که پشته را راه‌اندازی می‌کند ارسال کند. این امر ممکن است منجر به اجرای کد دلخواه مهاجم از راه دور بر روی BMC (میکروکنترلر تخصصی تعبیه شده روی مادربرد) شود.

محصولات تحت‌تأثیر
این آسیب‌‌‌‌‌‌‌‌پذیری سخت‌‌‌‌‌‌‌‌افزار BMC مادربردهای زیر و ماژول‌‌‌‌‌‌‌‌های CMM6 را تحت‌تأثیر قرار می‌دهد:
•    X11
•    X12
•    B12
•    X13
•    H13
•    B13

توصیه‌های امنیتی
نسخه به‌‌‌‌‌‌‌‌روزرسانی‌‌‌‌‌‌‌‌شده سخت‌‌‌‌‌‌‌‌افزار BMC جهت کاهش این آسیب‌‌‌‌‌‌‌‌پذیری احتمالی ایجاد شده و در دسترس است. برنامه SKU تمامی مادربردهای آسیب‌‌‌‌‌‌‌‌پذیر به این نسخه جدید نیاز دارند. همچنین برای کاهش سطح حمله توصیه می‌‌‌‌‌‌‌‌شود از راهنمای پیکربندی BMC به نام BMC Configuration Best Practices Guide برای تنظیم session timeout پیروی گردد.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-36435

کشف آسیب‌پذیری در OpenVPN ویندوز

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-27903 و شدت بحرانی 9.8 در OpenVPN plug-ins شناسایی شده است. نسخه ۲.۶.۹ و قبل‌تر OpenVPN را می‌توان در هر پوشه‌ای از سیستم‌عامل ویندوز اجرا کرد؛ در نتیجه مهاجم امکان اجرای افزونه را از هر پوشه‌ای دارد که  این امر می‌تواند منجر به دسترسی غیرمجاز به سرویس تعاملی OpenVPN  با سطح دسترسی بالاتر می‌شود. بر اساس  بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H، بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U). در بدترین شرایط (قربانی شدن کاربری با سطح دسترسی ادمین)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).

محصولات تحت‌تأثیر
نسخه ۲.۶.۹ و پایین‌تر  OpenVPN آسیب‌پذیر می‌باشند.
 

توصیه امنیتی
به کاربران توصیه می‌شود که OpenVPN ویندوز را به آخرین نسخه (۲.۶.۱۰ یا ۲.۵.۱۰) به‌روزرسانی کرده و اقدامات لازم را جهت محافظت از سیستم‌های خود انجام دهند.

منابع خبر:


[1]    https://openvpn.net/security-advisory/ovpnx-vulnerability-cve-2024-27903-cve-2024-27459-cve-2024-24…
[2]    https://www.tenable.com/cve/CVE-2024-27903
[3]    https://nvd.nist.gov/vuln/detail/CVE-2024-27903

کشف آسیب‌پذیری بحرانی در ابزار aimhubio/aim

تاریخ ایجاد

به تازگی یک آسیب‌پذیری بحرانی با شناسه CVE-2024-6396 و شدت 9.8 در تابع _backup_run ابزار aimhubio/aim کشف شده است. این آسیب‌پذیری از راه دور به مهاجمان اجازه می‌دهد تا فایل‌های سرور میزبان را بازنویسی و داده‌های دلخواه را استخراج کنند. این امر می‌تواند موجب محروم‌سازی از سرویس به دلیل بازنویسی فایل‌های حیاتی سیستم، از دست رفتن داده‌های خصوصی و اجرای کد از راه دور شود.


محصولات تحت‌تأثیر
این آسیب‌پذیری در نسخه 3.19.3 ابزار aimhubio/aim وجود دارد.


توصیه‌های امنیتی
در حال حاضر آسیب‌پذیری مذکور در انتظار تجزیه و تحلیل است و تاکنون راه حلی برای رفع آن منتشر نشده است.


منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-6396
 

 

بهره‌برداری مهاجمان از آسیب‌پذیری RCE در Ghostscript

تاریخ ایجاد

یک آسیب‌پذیری اجرای کد از راه دور در کتابخانه تبدیل اسناد Ghostscript وجود دارد که در سیستم‌های لینوکسی به طور وسیع از آن استفاده می‌شود و به طور پیش‌فرض بر روی اکثر توزیع‌های لینوکس نصب است. مهاجمان در حال بهره‌برداری از این آسیب‌پذیری با شناسه CVE-2024-29510 می‌باشند. این حمله با استفاده از فایل‌های EPS (PostScript) انجام می‌شود که به عنوان یک عکس JPG خود را جا می‌زنند و پس از اجرا دسترسی shell برای مهاجم فراهم می‌شود.
کتابخانه Ghostscript که به طور پیش‌فرض بر روی اکثر توزیع‌های لینوکس نصب است، توسط بسیاری از برنامه‌ها مانند ImageMagick، LibreOffice، GIMP، Inkscape، Scribus و سیستم پرینت CUPS مورد استفاده قرار می‌گیرد. این آسیبپذیری به مهاجمان اجازه می‌دهد جعبه شنی -dSAFER را دور بزنند زیرا نسخه‌های وصله نشده Ghostscript در جلوگیری از تغییر در رشته‌های آرگومان uniprint device بعد از فعال شدن جعبه شنی موفق نیستند. این حمله اجازه اجرای عملیاتی مانند اجرای کد و file I/O را با استفاده از مفسر Ghostscript Postscript فراهم می‌کند درحالی که معمولاً جعبه شنی باید جلوی آن را بگیرد.
برنامه‌های تحت وب و سایر سرویس‌هایی که تبدیل اسناد با کمک Ghostscript را فراهم می‌کنند تحت تاثیر این آسیب‌پذیری قرار دارند.

نسخه‌های تحت تاثیر
نسخه 10.03.0 و قبل‌تر کتابخانه Ghostscript تحت تاثیر این آسیب‌پذیری قرار دارد.

توصیه‌های امنیتی
جهت تشخیص آسیب‌پذیر بودن سیستم ابتدا کدهای زیر را در یک فایل به نام CVE-2024-29510_testkit.ps ذخیره نمایید:
 

1

سپس دستور زیر را اجرا نمایید:

ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps

در صورت آسیب‌پذیر بودن پیغام زیر نمایش داده می‌شود:
 

2

در صورت آسیب‌پذیر بودن در توزیع ubuntu می‌توانید با دستورات زیر سیستم را به‌روزرسانی نمایید:

sudo apt update
sudo apt full-upgrade

پس از اجرای دستورات فوق دوباره اسکریپت را اجرا می‌کنیم و مشاهده می‌کنیم که آسیب‌پذیری برطرف شده است:
 

3

منابع خبر:


[1] https://www.bleepingcomputer.com/news/security/rce-bug-in-widely-used-ghostscript-library-now-explo…
[2] https://vulnera.com/newswire/ghostscript-librarys-rce-bug-now-being-exploited-in-attacks
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-29510