کشف آسیب‌پذیری بحرانی در نرم‌افزار mySCADA myPRO

تاریخ ایجاد

یک آسیب‌پذیری با شناسه cve-2024-4708 و شدت 9.3 (بحرانی) در نرم‌افزار mySCADA myPRO کشف شده است که در آن رمز عبور در متن کد، ذخیره شده و به یک نقص بحرانی در عملکرد احراز هویت سیستم منتهی می‌شود که تشخیص آن برای مدیر سیستم سخت است.
این آسیب‌پذیری به این صورت است که یک حساب کاربری مدیریت پیش‌فرض ایجاد می‌شود و یک رمز عبور ساده در متن کد نوشته شده و به محصول اضافه می‌شود که متعلق به‌حساب کاربری مدیریت است. این رمز عبور برای هر نسخه نصب شده محصول یکسان است اگر رمز عبور کشف یا منتشر شود، هر کسی که به این رمز عبور دسترسی داشته باشد می‌تواند به پنل مدیریت محصول دسترسی پیدا کند. از آنجا که تمام نصب‌های محصول از همان رمز عبور استفاده می‌کنند، در سازمان‌های مختلف، امکان حملات ویروسی همچون کرم فراهم می‌شود.

محصولات تحت‌تأثیر
نسخه‌های تحت‌تأثیر این آسیب‌پذیری عبارتند از:
•    7
•    8.20.0
•    8.26
•    8.27.0
•    8.29.0

توصیه‌های امنیتی
به کاربران توصیه می‌شود که  نسخه‌های آسیب‌پذیر را به نسخه 8.31.0  به‌روزرسانی کنند.

منابع خبر:


[1]    https://vuldb.com/?id.270252
[2]    https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-02
[3]    https://www.myscada.org/mypro/

به‌روزرسانی حیاتی روترهای Juniper

تاریخ ایجاد

جونیپر به‌روزرسانی‌های امنیتی out-of-band را برای رفع یک نقص امنیتی مهم در روترهای این شرکت منتشر کرده است که می‌تواند منجر به دور زدن احراز هویت در برخی از روترها گردد. این آسیب‌پذیری که با شناسه CVE-2024-2973و  شدت  CVSS 10.0 (بحرانی) شناخته شده است با استفاده از مسیر یا کانال جایگزین در روتر به یک مهاجم در بستر شبکه اجازه می‌دهد تا احراز هویت را دور بزند و کنترل کامل دستگاه را به دست گیرد.

محصولات تحت تأثیر

  •  Session Smart Router  :تمام نسخه‌های قبل از 5.6.15  از  6.0 تا 6.1.9-lts و از 6.2 تا 6.2.5-sts
  • Session Smart Conductor : تمام نسخه‌های قبل از 5.6.15  از  6.0 تا 6.1.9-lts و از 6.2 تا 6.2.5-sts
  •   WAN Assurance Router: تمام نسخه‌های 6.06 قبل از 6.1.9-lts  و نسخه‌های قبل از 6.2.5-sts


توصیه‌های امنیتی

  •  اعمال به‌روزرسانی‌های امنیتی: کاربران باید به سرعت به‌روزرسانی‌های امنیتی جدید شرکت Juniper Networks را بر روی روترها و تجهیزات مربوطه اعمال کنند.
  •  بررسی تنظیمات تجهیزات: اگر تجهیزات روتر از تنظیمات  high-availability redundant configurations  استفاده می‌کنند لازم است تنظیمات را بررسی کرده و اطمینان حاصل کنند که بروزرسانی‌های لازم اعمال شده‌اند.


منابع خبر:


[1] https://thehackernews.com/2024/07/juniper-networks-releases-critical.html
[2] https://www.bleepingcomputer.com/news/security/juniper-releases-out-of-cycle-fix-for-max-severity-a…

آسیب‌پذیری در سیستم‌عامل سوئیچ‌های سری Nexus شرکت سیسکو

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2024-20399، امتیاز 6.0 و شدت متوسط در رابط خط فرمان (CLI) سیستم عامل سوئیچ‌های سری Nexus شرکت سیسکو کشف شده است. این آسیب‌پذیری به یک مهاجم محلی با سطح دسترسی root اجازه می‌دهد تا دستورات دلخواه را بر روی سوئیچ اجرا کند.
این آسیب‌پذیری به دلیل اعتبارسنجی ناکافی آرگومان‌های دستورات CLI پیکربندی خاص ایجاد شده است. مهاجم می‌تواند با قرار دادن ورودی‌های مخرب به عنوان آرگومان این دستورات، از این آسیب‌پذیری بهره‌برداری کند. بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری به مهاجم اجازه می‌دهد تا دستورات دلخواه را با سطح دسترسی root بر روی سیستم عامل زیربنایی اجرا کند.
توجه: برای بهره‌برداری از این آسیب‌پذیری بر روی سوئیچ‌های سیسکو NX-OS، مهاجم باید دارای دسترسی‌های مدیریتی باشد.

محصولات تحت تأثیر
•    سوئیچ‌های سری MDS 9000
•    سوئیچ‌های سری Nexus 3000
•    سوئیچ‌های سری Nexus 5500
•    سوئیچ‌های سری Nexus 5600
•    سوئیچ‌های سری Nexus 6000
•    سوئیچ‌های سری Nexus 7000
•    سوئیچ‌های سری Nexus 9000 در حالت مستقل NX-OS

 توصیه‌های امنیتی
•    سیسکو وصله‌های امنیتی را برای رفع این آسیب‌پذیری منتشر کرده است. به شدت توصیه می‌شود که در اسرع وقت وصله‌ها بر روی سوئیچ‌های آسیب‌پذیر نصب شود.
•    تا زمان نصب وصله، راه‌حلی برای رفع این آسیب‌پذیری وجود ندارد.


منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-20399
[2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-cmd-inj…

کشف سه آسیب‌پذیری بحرانی در پلتفرم Splunk

تاریخ ایجاد

سه آسیب پذیری با مشخصات زیر در Splink، پلتفرم جمع‌آوری، مدیریت و تحلیل  لاگ‌ها و داده‌های سیستم‌ها، شناسایی شده است:
1) آسیب‌ پذیری  Command Injectionدر بخش  External Lookups  که مربوط به ارتباط با منابع خارجی و اجرای دستورات خارجی در محیطSplunk  می‌باشد، به مهاجم اجازه می‌دهد با استفاده از  External Lookups و دستور "runshellscript" کدهای مخرب را در سرور Splunk اجرا کند. این آسیب‌پذیری با شناسه CVE-2024-36983 و شدت 8.0 گزارش شده است. 
2) آسیب‌پذیری Denial of Service در بخش REST API  که مربوط به ارائه و مدیریت اطلاعات و تعاملات بین سیستم‌ها و برنامه‌های مختلف است، وجود دارد. این آسیب پذیری می‌تواند به مهاجم اجازه دهد تا حمله  DoS را از طریق استفاده از مرجع اشاره‌گر null  در نقطه پایانی REST به نام "cluster/config" انجام دهد. حمله به این نقطه پایانی می‌تواند منجر به خرابیdaemon  شود. این آسیب‌پذیری با شناسه CVE-2024-36982 و با شدت 7.5 گزارش شده است.
3) آسیب‌پذیری تزریق کد از راه دور، در بخش Splunk Web شناسایی شده است.  Splunk Webبه کاربران اجازه می‌دهد تا از طریق مرورگر وب با Splunk ارتباط برقرار کرده، queryها را اجرا و نتایج را مشاهده کنند و همچنین از طریق تغییر پیام‌های session، کدهای مخرب را در سیستم Splunk اجرا کنند. این آسیب‌پذیری با شناسه CVE-2024-36984 و شدت 8.8 گزارش شده است. مهاجم می‌تواند با استفاده از یکquery  تقلبی و استفاده از دستور collect SPL، فایلی را ایجاد کند و می‌تواند از این فایل برای ارسال یک payload استفاده کند که منجر به اجرای arbitrary code در سیستم می‌شود. این عملیات به مهاجم اجازه می‌دهد تا دستورات خطرناک و اسکریپت‌های مخرب را اجرا کند، که می‌تواند به کنترل کامل بر روی سیستم Splunk منجر شود.

محصولات تحت تأثیر
Splunk Enterprise : نسخه  9.0.0 تا 9.0.9 و نسخه 9.1.0 تا 9.1.4 و نسخه 9.2.0 تا 9.2.1
Splunk cloud platform : نسخه 9.1.2312.100 تا 9.1.2312.108 و قبل از از 9.1.2308.207

توصیه‌های امنیتی 

  • اعمال به‌روزرسانی نرم‌افزار: کاربران  Splunk Enterprise و Splunk cloud platform باید نسخه مورد استفاده در سازمان خود را به نسخه بالاتر ارتقاء دهند. 
  •  نظارت مداوم : Splunk به طور فعال برای شناسایی و رفع مشکلات احتمالی ناشی از این آسیب‌‌پذیری نظارت می‌کند توصیه می‌شود کاربران نیز سیستم‌های خود را به‌ طور مداوم مانیتور کنند تا هرگونه فعالیت مشکوک را به سرعت شناسایی و متوقف کنند.
  • بررسی و محدود کردن دسترسی ها : کاربران باید دسترسی‌های کاربران احراز هویت شده را بررسی کرده و اطمینان حاصل کنند که هیچ کاربر غیرمجازی نمی¬‌تواند به External Lookups دسترسی داشته باشد.
  • انجام آزمون‌های نفوذ : (Penetration Testing) مدیران فناوری اطلاعات سازمان¬ها به منظور شناسایی آسیب‌پذیری‌های جدید و مقابله با آنها باید بصورت دوره‌ای، آزمون نفوذ را بر روی سیستم‌های Splunk انجام دهند. 


منابع خبر:


[1] https://advisory.splunk.com/advisories/SVD-2024-0703  
[2] https://advisory.splunk.com/advisories/SVD-2024-0702
[3] https://advisory.splunk.com/advisories/SVD-2024-0704
[4] https://cybersecuritynews.com/multiple-flaws-splunk-enterprise/

کشف آسیب‌پذیری اجرای کد از راه دور در OpenSSH server

تاریخ ایجاد

یک آسیب‌پذیری اجرای کد از راه دور بدون نیاز به تصدیق هویت در OpenSSH server (sshd) کشف شده است که در سیستم‌های لینوکسی مبتنی بر glibc قابل بهره‌برداری می‌باشد. شناسه CVE-2024-6387 به این آسیب‌پذیری اختصاص یافته و دارای امتیاز 8.1 در سیستم CVSS 3.x می‌باشد. این آسیب‌پذیری از نوع signal handler race condition است که به مهاجمان اجازه می‌دهد بدون نیاز به تصدیق هویت کدهای خود را با سطح دسترسی روت در سیستم‌های لینوکسی مبتنی بر glibc اجرا کنند که در تنظیمات پیش‌فرض sshd قابل بهره‌برداری است. نام regreSSHion به این آسیب‌پذیری اختصاص یافته است. حدود 14 میلیون سرور در اینترنت شناسایی شده‌اند که به طور بالقوه آسیبپذیر هستند.
OpenSSH مجموعه‌ای از ابزارهای شبکه مبتنی بر پروتکل SSH است که کاربرد اصلی آن اتصال امن از راه دور به سرور و مدیریت آن و انتقال امن فایلها بر روی سرور می‌باشد.
اگر یک کلاینت در مدت زمان تعیین شده در قسمت LoginGraceTime seconds که به طور پیش‌فرض 120 ثانیه است موفق به لاگین نشود، SIGALRM handler در sshd به صورت ناهمزمان توابع متنوعی را صدا می‌زند که async-signal-safe نیستند. یک مهاجم می‌تواند از این نقص بهره‌برداری کرده و کدهای دلخواه را با سطح دسترسی روت اجرا نماید. بهره‌برداری از regreSSHion می‌تواند عواقب شدیدی برای سرورهای تحت تاثیر داشته باشد و در  نهایت منجر به دسترسی کامل به سیستم شود.
بهره‌برداری از regreSSHion دارای پیچیدگی است و نیازمند چندین تلاش جهت رسیدن بهmemory corruption لازم جهت اجرای کد از راه دور می‌باشد. جزئیات بیشتر این آسیب‌پذیری توسط شرکت qualys منتشر شده است.

محصولات تحت تاثیر
•    نسخه‌های قبل از 4.4p1 در برابر signal handler race condition آسیب‌پذیر هستند، مگر اینکه وصله‌ای برای آسیب‎پذیری‌های CVE-2006-5051 و CVE-2008-4109 را نصب کرده باشند.
•    نسخه‌های 4.4p1 تا قبل از 8.5p1 به دلیل وجود یک وصله برای CVE-2006-5051 آسیب‌پذیر نیستند.
•    این آسیب‌پذیری به دلیل حذف یک مولفه در یک تابع در نسخه‌های 8.5p1 تا قبل از 9.8p1 دوباره پدیدار می‌شود.
•    سیستم‌های OpenBSD آسیب‌پذیر نیستند.

توصیه‌های امنیتی
•    به‌روزرسانی موجود برای OpenSSH server (نسخه 9.8p1) را نصب نمایید که این آسیب‌پذیری را برطرف می‌نماید.
•    اگر امکان به‌روزرسانی سرور OpenSSH وجود ندارد، مقدار LoginGraceTime را در فایل پیکربندی sshd به 0 تغییر دهید، اما توجه کنید که این تنظیمات می‌تواند سرور را در برابر حمله منع دسترسی آسیب‌پذیر کند.
 

منابع خبر:

[1] https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticat…
[2] https://www.bleepingcomputer.com/news/security/new-regresshion-openssh-rce-bug-gives-root-on-linux-…
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-6387

کشف آسیب‌پذیری در محصول IBM InfoSphere Information Server

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-28798 و شدت 7.2(بالا) در محصول  IBM InfoSphere Information Server  کشف شده است که به مهاجم این امکان را خواهد داد تا یک کد جاوا اسکریپت مخرب را در رابط کاربری وب جاسازی کرده و از این طریق عملکرد مورد نظر را تغییر می‌دهد که این امر به طور بالقوه منجر به افشای اطلاعات یک session معتبر می‌شود. براساس بردار حمله این آسیب‌پذیری،  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند هیچ پیش‌زمینه‌ای نبوده، به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C) و در بدترین شرایط دو ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:L و I:L و A:N).

محصولات تحت تأثیر
نسخه‌ 11.7 محصول IBM InfoSphere Information Server  تحت تاثیر این آسیب‌پذیری قرار دارد.

توصیه امنیتی
به کاربران توصیه می‌شود که در اسرع وقت نسخه IBM MQ Appliance 9.3 LTS را به نسخه 11.73.1.5 ارتقاء دهند.

 منابع خبر: 


[1] https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2024-28798
[2] https://www.ibm.com/support/pages/node/7158439

بهره‌برداری مهاجمان از فایل‌های Microsoft Management Console از طریق تکنیک حمله جدید مهاجمان

تاریخ ایجاد

Microsoft Management Console یک فریمورک نرم‌افزاری در ویندوز است که به مدیران سیستم اجازه می‌دهد تا ابزارهای مدیریتی مختلفی را در یک کنسول یکپارچه استفاده کنند. فایل‌های MSC  فایل‌های پیکربندی هستند که توسط Microsoft Management Console (MMC) استفاده می‌شوند. این فایل‌ها شامل تنظیمات و اسکریپت‌هایی هستند که جهت مدیریت و نظارت بر سیستم‌های ویندوزی استفاده می‌شوند. مدیران سیستم می‌توانند با استفاده از MSC، ابزارهای مدیریتی مختلفی را در یک کنسول یکپارچه تنظیم و اجرا کنند. این فایل‌ها معمولاً شامل تنظیمات پیچیده‌ای هستند که به مدیریت منابع سیستم، پیکربندی سرویس‌ها و انجام وظایف مدیریتی کمک می‌کنند. مهاجمان با استفاده از یک تکنیک حمله جدید به نام "GrimResource" فایل‌های مدیریتی ذخیره شده (MSC) را به صورت خاصی دستکاری می‌کنند تا از کنسول مدیریت مایکروسافت (MMC) بهره‌برداری کرده و به اجرای کامل کد مخرب برسند. این روش به آن‌ها اجازه می‌دهد تا از دیوارهای دفاعی امنیتی سیستم‌ها عبور کنند. وقتی یک فایل کنسول مخرب وارد می‌شود، یک آسیب‌پذیری در یکی از کتابخانه‌های MMC می‌تواند به اجرای کدهای مخرب توسط مهاجم منجر شود.
تکنیک GrimResource از یک نقص XSS  قدیمی که در کتابخانه apds.dll وجود دارد، استفاده می‌کند. در این مورد، مهاجمان با اضافه کردن یک مرجع به منبع آسیب‌پذیر APDS در بخش StringTable  یک فایل MSC، می‌توانند جاوااسکریپت دلخواه را در بستر mmc.exe اجرا کنند.
این اقدام اولیه به مهاجمان این امکان را می‌دهد تا با استفاده از تکنیک DotNetToJScript به اجرای کد دلخواه روی سیستم بپردازند. DotNetToJScript یک ابزار است که توسط مهاجمان جهت اجرای کد دلخواه به صورت اسکریپت جاوااسکریپت (JScript) در محیط‌هایی مانند Windows Script Host (WSH) استفاده می‌شود. این ابزار قادر است کدهای نوشته شده به زبان C# یا .NET را به قالبی تبدیل کند که به سادگی در مرورگرها یا در محیط‌های دیگری که JScript را پشتیبانی می‌کنند، قابل اجرا باشد.
 

1

شکل 1: یک نمونه از StringTable که در آن یک مرجع به منبع آسیب‌پذیر APDS اضافه شده است


در کد زیر، مهاجمان یک URL مخرب را به جدول رشته‌ها اضافه کرده‌اند که از طریق apds.dll جاوااسکریپت دلخواه را اجرا می‌کند:


<String ID="39"
Refs="1">res://apds.dll/redirect.html?target=javascript:eval("alert('GRIMRESOURCE')")
</String>

در زمان شناسایی این نمونه، هیچگونه شناسایی در VirusTotal برای آن ثبت نشده‌است. VirusTotal یک سرویس آنلاین است که فایل‌ها و URLها را در برابر بسیاری از ویروسها اسکن می‌کند تا تهدیدات احتمالی را شناسایی کند. عدم شناسایی توسط VirusTotal سطح بالای اختفای این حمله را نشان می‌دهد. مهاجمان جهت دور زدن فرآیندها و اقدامات امنیتی اخیر که توسط Microsoft انجام شده، مانند غیرفعال کردن پیش‌فرض ماکروها در فایل‌های Office که از اینترنت دانلود می‌شوند، با استفاده از تکنیک obfuscation transformNode، کدهای خود را مبهم می‌سازند. ماکروها (Macros) مجموعه‌ای از دستورات و عملیات‌ها هستند که به صورت خودکار در نرم‌افزارهایی مانند Microsoft Office اجرا می‌شوند تا وظایف تکراری را سریع‌تر و ساده‌تر انجام دهند. این ماکروها معمولاً با استفاده از زبان‌های برنامه‌نویسی مانند VBA (Visual Basic) نوشته می‌شوند و می‌توانند طیف گسترده‌ای از کارها را انجام دهند. ماکروها به دلیل قدرت و انعطاف‌پذیری بالا، می‌توانند به راحتی مورد سوءاستفاده مهاجمان قرار بگیرند. مهاجمان می‌توانند ماکروهای مخرب ایجاد کنند و آنها را در فایل‌های Office (مانند اسناد Word، صفحات گسترده Excel و ارائه‌های PowerPoint) جاسازی کنند. هنگامی که یک کاربر فایل حاوی ماکروی مخرب را باز می‌کند و ماکرو اجرا می‌شود، کد مخرب می‌تواند به سیستم نفوذ کرده و عملیات مخربی مانند دانلود و اجرای بدافزار، دسترسی به اطلاعات حساس یا حتی تصاحب کنترل کامل سیستم را انجام دهد. مایکروسافت برای افزایش امنیت کاربران خود، تصمیم گرفته است که اجرای ماکروها را به طور پیش‌فرض در فایل‌هایی که از اینترنت دانلود می‌شوند، غیرفعال کند. در روش obfuscation transformNode کدهای برنامه به شکلی تغییر داده می‌شود که برای انسان‌ها و ابزارهای تحلیل سخت‌تر قابل فهم باشد. تکنیک transformNode برای دور زدن هشدارهای امنیتی ActiveX (یک فناوری مایکروسافت برای ایجاد محتوای تعاملی در وب) استفاده می‌شود و باعث می‌شود که اسکریپت‌های مخرب توسط سیستم به عنوان اسکریپت امن شناسایی شوند.
 

2

شکل 2: تکنیک obfuscation transformNode جهت مخفی کردن کدهای مخرب

 

در روند حمله، یک اسکریپت VBScript به طور مخفیانه در سیستم اجرا می‌شود. این اسکریپت مسئول بازیابی کد مخرب (payload) از متغیرهای محیطی است. متغیرهای محیطی، مقادیر یا اطلاعاتی هستند که در سیستم‌عامل ذخیره می‌شوند و برنامه‌های مختلف می‌توانند به آنها دسترسی داشته باشند. پس از تنظیم متغیرها، از تکنیک DotNetToJs استفاده می‌کند تا کدهای .NET را از طریق جاوااسکریپت اجرا کنند. سپس این اسکریپت یک لودر .NET به نام PASTALOADER را اجرا می‌کند.
 

3

شکل 3:اسکریپت VBScript مبهم‌سازی شده

4

شکل 4:تنظیم متغیرهای محیطی

 

5

شکل 5


شکل 5 بخشی از VBScript را نمایش می‌دهد. در این تصویر یک شیء از نوع BinaryFormatter ایجاد شده و از آن، جهت استخراج کدهای مخرب از متغیرهای محیطی استفاده می‌شود. PASTALOADER وظیفه دارد تا کد مخرب اصلی (payload) را از متغیرهای محیطی بازیابی کند. PASTALOADER سپس یک نمونه جدید از dllhost.exe (یک فرآیند سیستم‌عامل Windows که برای اجرا و مدیریت اجزاء COM (Component Object Model) به کار می‌رود) را اجرا کرده و payload مخرب که قبلا بازیابی آن شرح داده‌شد را به آن تزریق می‌کند. این تزریق به طور مخفیانه با استفاده از تکنیکهای DirtyCLR (روشی برای تزریق کد به محیط اجرای مشترک NET.)، unhooking توابع(حذف ارتباطات بین توابع و نقاط ورودی سیستم) و syscalls غیرمستقیم (فراخوانی سیستم‌های عامل به طور مستقیم از طریق کدهای ماشین) انجام می‌شود. با اجرای موفقیت‌آمیز PASTALOADER، مهاجم به طور کامل کنترل سیستم قربانی را به دست می‌آورد. این به معنای دسترسی به تمامی فایل‌ها، اجرای برنامه‌های دلخواه و تغییر تنظیمات سیستم است. بنابر این، تکنیک GrimResource با بهره‌گیری از نقص XSS در apds.dll شروع می‌کند و با استفاده از چندین مرحله مبهم‌سازی و تزریق کد، سیستم را به خطر می‌اندازد و کنترل آن را به دست می‌گیرد.

توصیه‌های امنیتی
جهت کاهش تهدیدات ناشی از این حمله، به‌روز نگه داشتن نرم‌افزارها و سیستم‌عامل‌ها، استفاده از ابزارهای امنیتی پیشرفته، اجرای اصول دفاع در عمق به معنی استفاده از یک رویکرد چند لایه‌ای شامل کنترل‌های شبکه، امنیت نقاط پایانی و کنترل‌های دسترسی، مانیتورینگ و تجزیه و تحلیل لاگ‌ها و استفاده از تکنیک‌های محدودسازی اجرای اسکریپت‌ها توصیه می‌گردد. 


منابع خبر:


[1]https://thehackernews.com/2024/06/new-attack-technique-exploits-microsoft.html?m=1&nbsp;
[2]https://securitybrief.com.au/story/elastic-discovers-new-attack-vector-in-microsoft-management-cons…;
[3]https://securitybrief.com.au/story/elastic-discovers-new-attack-vector-in-microsoft-management-cons…;

کشف آسیب‌پذیری در GitLab

تاریخ ایجاد

GitLab یک پلتفرم مبتنی‌ بر وب است که مجموعه‌ای از ابزارها را برای کنترل نسخه (به ویژه مدیریت مخزن Git)، یکپارچه‌سازی مداوم، تحویل مداوم و همکاری فراهم می‌کند. یک آسیب‌پذیری امنیتی در محصول GitLab با شناسه CVE-2024-2294 و  شدت بحرانی 8.8 شناسایی شده است که به مهاجمان اجازه می‌دهد تا در شرایط خاص، کد مخرب خود را جهت انجام حمله اجرا کنند. به عبارت دیگر این آسیب‌پذیری به مهاجم احرازهویت‌شده در GitLab اجازه می‌دهد تا کدمخرب خود را به عنوان هر کاربر دیگری در سیستم اجرا کند. این می‌تواند منجر به سرقت اطلاعات، نشت داده یا حتی کنترل کامل در GitLab شود.

محصولات تحت تأثیر
این آسیب‌پذیری نسخه‌های  15.8 تا 17.1.1 محصول GitLab CE/EE را (به جز آخرین نسخه) تحت تأثیر قرار می‌دهد.
GitLab CE/EE نسخه‌های 15.8 تا 16.11.4
GitLab CE/EE نسخه 17.0.0 تا 17.0.2
GitLab CE/EE نسخه 17.1.0

توصیه‌های امنیتی
به کاربران توصیه می‌شود تا GitLab خود را به آخرین نسخه (17.1.1یا بالاتر برای (CE/EE به‌روزرسانی کنند.

منابع:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-5655
[2]  https://www.tenable.com/plugins/nessus/201076
[3] https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/

آسیب‌پذیری در VMware-ESXi

تاریخ ایجاد

آسیب‌پذیری‌های بحرانی در VMware ESXi و vCenter Server کشف شده است که می‌تواند به مهاجمان اجازه دهد کنترل کاملی بر هاست‌های ESXi به دست آورند یا به vCenter Server دسترسی پیدا کنند.

آسیب‌پذیری با شناسه CVE-2024-37085 و شدت 6.8 در VMware ESXi یافت شده است که به مهاجمی که مجوزهای لازم در Active Directory (AD) را دارد، اجازه می‌دهد تا به طور کامل به یک هاست ESXi دسترسی پیدا کند.

آسیب‌پذیری با شناسه CVE-2024-37086 و شدت 6.8 در VMware ESXi یافت شده است که به مهاجمی که مجوزهای محلی در یک ماشین مجازی با snapshot دارد، اجازه می‌دهد تا با خواندن اطلاعات، منجر به انجام حمله انکار سرویس در هاست ESXi شود.

آسیب‌پذیری با شناسه CVE-2024-37087 و شدت 5.3 در vCenter Server یافت شده است که به مهاجمی که به شبکه vCenter Server دسترسی دارد، اجازه می‌دهد تا حمله انکار سرویس انجام دهد.

محصولات تحت تأثیر
•    VMware ESXi نسخه‌های 7.0 و 8.0
•    VMware vCenter Server نسخه‌های 7.0 و 8.0
•    VMware Cloud Foundation نسخه‌های 4.x و 5.x

توصیه‌های امنیتی
به کاربران توصیه می‌شود که ESXi، vCenter Server و VMware Cloud Foundation را در اسرع وقت به آخرین نسخه‌ به‌روزرسانی کنند.

منابع:


[1]https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdviso…
[2]  https://nvd.nist.gov/vuln/detail/CVE-2024-37085
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-37087
[4] https://nvd.nist.gov/vuln/detail/CVE-2024-37086&nbsp;

آسیب‌پذیری احراز هویت در نرم‌افزار MOVEit Transfer

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2024-5806 و شدت 9.1 (بحرانی) در نرم‌افزار MOVEit گزارش شده است. MOVEit Transfer یک نرم‌افزار امن انتقال فایل است که توسط Progress Software توسعه یافته است. این نرم‌افزار به طور گسترده برای انتقال ایمن فایل‌های حساس بین سازمان‌ها، شرکا و مشتریان استفاده می‌شود. MOVEit Transfer از طیف گسترده‌ای از پروتکل‌ها و استانداردهای امنیتی، از جمله SFTP، FTPS، HTTPS و AS2 پشتیبانی می‌کند. این آسیب‌پذیری در ماژول SFTP Progress MOVEit Transfer مربوط به احراز هویت نادرست است که ممکن است دسترسی غیرمجاز فراهم کند. این بدان معناست که یک مهاجم احرازهویت نشده  می‌تواند به اطلاعات حساس دسترسی یابد یا اقدامات غیرمجازی انجام دهد.

 

محصولات تحت تاثیر
•    از نسخه 2023.0.0 تا قبل از 2023.0.11
•    از نسخه 2023.1.0 تا قبل از 2023.1.6
•    از نسخه 2024.0.0 تا قبل از 2024.0.2
 

توصیه‌های امنیتی

  • مسدود کردن دسترسی از طریق پروتکل دسکتاپ از راه (RDP) ورودی به سرور(های) MOVEit Transfer
  • محدود کردن دسترسی خروجی تنها به نقاط پایانی معتبر و قابل اعتماد از سرور(های) MOVEit Transfer
     

منابع خبر:


[1] https://thehackernews.com/2024/06/new-moveit-transfer-vulnerability-under.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-5806