وردپرس با انتشار به‌روزرسانی‌های امنیتی، چهار ‫آسیب‌پذیری امنیتی را در نسخه 5.8.3 خود وصله نموده است. آسیب‌پذیری‌های مذکور شامل دو آسیب‌پذیری تزریق SQL (CVE-2022-21664 و CVE-2022-21661 با شدت 7.4 و 8.0)، یک آسیب‌پذیری Stored XSS (CVE-2022-21662 با شدت 8.0) و یک آسیب‌پذیری تزریق شیء (CVE-2022-21663 با شدت 6.6) هستند. کلیه نسخه‌های بین 3.7 تا 5.8 وردپرس تحت تاثیر این آسیب‌پذیری‌ها قرار دارند. به کاربران توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سایت‌های وردپرسی آسیب‌پذیر اقدام کنند.
هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است. اعمال به‌روزرسانی‌ها به‌صورت زیر انجام می‌پذیرد:

• مراجعه به سایت WordPress.org و بارگیری فایل به‌روزرسانی
• استفاده از مسیر Dashboard → Updates در پیشخوان سایت وردپرسی و انتخاب گزینه Update Now

در صورتی که سایت وردپرسی از به‌روزرسانی‌های خودکار در پس‌زمینه پشتیبانی می‌کند، فرآیند به‌روزرسانی به‌صورت خودکار در آن آغاز می‌شود.
جهت کسب اطلاعات بیشتر در مورد این آسیب‌پذیری‌ها به لینک زیر مراجعه کنید:

https://wordpress.org/news/2022/01/wordpress-5-8-3-security-release/

منابع:

https://wordpress.org/news/2022/01/wordpress-5-8-3-security-release/
https://www.wordfence.com/blog/2022/01/wordpress-5-8-3-security-release/

مایکروسافت گزارش‌ آسیب‌پذیری‌های امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی و آخرین به‌روزرسانی را برای محصولات خود منتشر کرده است. در اصلاحیه امنیتی سه شنبه 11 ژانویه 2022 مایکروسافت 97 آسیب‌پذیری (6 آسیب‌پذیری روز صفرم) را برطرف کرده است. از این 97 آسیب‌پذیری (41 مورد Elevation of Privilege، 9 مورد Security Feature Bypass، 29 مورد Remote Code Execution، 6 مورد Information Disclosure، 9 مورد Denial of Service، 3 مورد Spoofing)، 9 مورد دارای درجه حساسیت بحرانی و 88 مورد دارای درجه حساسیت مهم طبقه‌بندی شده‌اند.

آسیب‌پذیری‌های روز صفرم شامل شناسه‌های زیر می‌شوند:

• CVE-2021-22947 - Open Source Curl Remote Code Execution Vulnerability
• CVE-2021-36976 - Libarchive Remote Code Execution Vulnerability
• CVE-2022-21919 - Windows User Profile Service Elevation of Privilege Vulnerability
• CVE-2022-21836 - Windows Certificate Spoofing Vulnerability
• CVE-2022-21839 - Windows Event Tracing Discretionary Access Control List Denial of Service Vulnerability
• CVE-2022-21874 - Windows Security Center API Remote Code Execution Vulnerability

طبق گزارش مایکروسافت، تعدادی از این آسیب‌پذیری‌ها به‌صورت عمومی دارای اکسپلویت بوده و ممکن است توسط مهاجمین در حال بهره‌برداری باشند.
در به‌روزرسانی این ماه، وصله‌ها شامل موارد زیر بوده‌اند:

• .NET Framework
• Microsoft Dynamics
• Microsoft Edge (Chromium-based)
• Microsoft Exchange Server
• Microsoft Graphics Component
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft Office Word
• Microsoft Teams
• Microsoft Windows Codecs Library
• Open Source Software
• Windows Hyper-V
• Tablet Windows User Interface
• Windows Account Control
• Windows Active Directory
• Windows AppContracts API Server
• Windows Application Model
• Windows BackupKey Remote Protocol
• Windows Bind Filter Driver
• Windows Certificates
• Windows Cleanup Manager
• Windows Clipboard User Service
• Windows Cluster Port Driver
• Windows Common Log File System Driver
• Windows Connected Devices Platform Service
• Windows Cryptographic Services
• Windows Defender
• Windows Devices Human Interface
• Windows Diagnostic Hub
• Windows DirectX
• Windows DWM Core Library
• Windows Event Tracing
• Windows Geolocation Service
• Windows HTTP Protocol Stack
• Windows IKE Extension
• Windows Installer
• Windows Kerberos
• Windows Kernel
• Windows Libarchive
• Windows Local Security Authority
• Windows Local Security Authority Subsystem Service
• Windows Modern Execution Server
• Windows Push Notifications
• Windows RDP
• Windows Remote Access Connection Manager
• Windows Remote Desktop
• Windows Remote Procedure Call Runtime
• Windows Resilient File System (ReFS)
• Windows Secure Boot
• Windows Security Center
• Windows StateRepository API
• Windows Storage
• Windows Storage Spaces Controller
• Windows System Launcher
• Windows Task Flow Data Engine
• Windows Tile Data Repository
• Windows UEFI
• Windows UI Immersive Server
• Windows User Profile Service
• Windows User-mode Driver Framework
• Windows Virtual Machine IDE Drive
• Windows Win32K
• Windows Workstation Service Remote Protocol

در نهایت مایکروسافت اکیداً توصیه به به‌روزرسانی فوری در محصولات تحت تاثیر داشته است.

منابع:

https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2022-patch-tuesday-fixes-6-zero-days-97-flaws/
https://www.tenable.com/blog/microsofts-january-2022-patch-tuesday-addresses-97-cves-cve-2022-21907
https://msrc.microsoft.com/update-guide/en-us

بر اساس گزارش‌های واصله به مرکز ماهر حملات گروه‌های باج افزاری به دیتاسنترها و هاستیگ‌ها از طریق آسیب‌پذیری log4shell در محصولات VMWARE در حال وقوع است. ضمن تاکید بر جداسازی ZONE مدیریتی و محدودیت شدید دسترسی به واسط وبی vcenter حتی از داخل شبکه، نسبت به اعمال وصله‌های امنیتی مربوطه اقدام فوری انجام شود. توصیه می‌شود با استفاده از ابزار زیر نسبت به ارزیابی ipهای داخلی شبکه برای یافتن آسیب‌پذیری‌های احتمالی اقدام شود:

https://cert.ir/news/13317

در صورتی که قصد دارید به صورت محلی بدون ارتباط با بیرون، IPهای داخل شبکه را نسبت به #‫آسیب‌پذیری log4shell تست کنید می‌توانید از ابزار توسعه داده شده توسط آپای ارومیه استفاده کنید. با استفاده از این ابزار تعدادی پورت پرکاربرد روی یک محدوده از آی پی‌ها، در خصوص آسیب‌پذیر بودن log4shell مورد بررسی قرار می‌گیرد. با استفاده از این ابزار هیچ اطلاعاتی در مورد سرور شما به خارج از شبکه ارسال نمی‌شود. البته بایستی بین مقاصد تست شده و ماشینی که ابزار اجرا می‌شود مسیریابی انجام شود و بسته‌ها دو طرفه بتوانند حرکت کنند. دقت شود که فایروال ماشین ارزیاب در حین ارزیابی قطع باشد.

فایل اجرایی ویندوز و لینوکس ابزار: log4jScanner.zip
راهنمای استفاده از ابزار: Log4jScanner_Manual.pdf

دقت شود که برای استفاده از این ابزار اولا دسترسی ادمین یا روت به برنامه داده شود و همچنین پورت ۱۳۸۹ در پروتکل tcp و پورت ۵۳ در پروتکل udp از سمت فایروال باز بوده و امکان دسترسی به آن از بیرون وجود داشته باشد. شکل کلی استفاده از ابزار به این صورت است:
فرض کنیم آی‌پی خودمان داخل شبکه ۱۹۲.۱۶۸.۱۰.۱۰۰ و در بستر اینترنت ۲.۱۸۷.۲۴۰.۱۳۰ باشد.
اگر هدف اسکن یک رنج آی‌پی داخلی باشد دستور به صورت زیر خواهد بود:

log4jScanner_windows.exe scan --cidr=192.168.10.0/24 --server-ip=192.168.10.100

در این صورت تعداد ۲۵۴ آی‌پی موجود در این بازه برای ۱۰ پورت متداول وب‌ مورد اسکن قرار خواهد گرفت.
استفاده از آرگومان server-ip به این دلیل است که برنامه احیانا اشتباها آی‌پی دیگری از سیستم اسکنر را به عنوان سرور در نظر نگیرد.
اگر هدف اسکن یک آی‌پی خاص مثلا ۱۹۲.۱۶۸.۱۰.۱۱۳ باشد دستور به شکل زیر خواهد بود:

log4jScanner_windows.exe scan --ip=192.168.10.113 --server-ip=192.168.10.100

اگر یک فایل با نام ip-list.txt شامل لیست آی‌پی‌های خارج از شبکه و در بستر اینترنت داشته باشیم و بخواهیم این لیست را برای پورتهای ۸۰ و ۴۴۳ اسکن کنیم دستور به صورت زیر درخواهد آمد:

log4jScanner_windows.exe scan --list=ip-list.txt --ports=80,443 --server-ip=2.187.240.130

دقت شود که در این حالت بایستی آی‌پی خارجی سرور مورد استفاده قرار گیرد.
استفاده از دیگر آرگومان‌های برنامه دلخواه بوده و می‌توان با دستور زیر همه آن‌ها را مشاهده کرد:

log4jScanner_windows.exe scan --help

اسکن از بیرون برای یافتن سرویس‌های آسیب‌پذیر در شبکه لزوما موفق آمیز نخواهد بود حتی اگر از ابزارهای قوی استفاده شود. روش درست این قضیه اسکن تمام فایل‌های سرور برای یافتن کتابخانه‌های آسیب‌پذیر است. به این منظور فایل پویشگر یافتن کتابخانه‌های Log4j آسیب‌پذیر در سیستم‌های ویندوزی و لینوکسی تهیه شده است:

اجرای فایل در سیستم‌های ویندوزی با استفاده از دستور java -jar Log4j_Scanner_v1.jar انجام می‌شود.
 

در سیستم‌های لینوکسی فایل پس از اجرایی کردن (chmod +x Log4j_Scanner_v1.jar) قابل اجرا است.
 

با انتخاب گزینه 1 کل سیستم پویش می‌شود:
 

با انتخاب گزینه 2 می‌توان یک مسیر مورد نظر را به‌منظور انجام پویش وارد کرد:
 

در حین انجام پویش با یافتن هر آسیب‌پذیری جزئیات مربوط به آن شامل سطح خطر (Critical و Medium)، CVE مربوط به آسیب‌پذیری (یکی از موارد CVE-2021-45105 ,CVE-2021-45046 ,CVE-2021-44228 و CVE-2021-44832)، مسیر کتابخانه آسیب‌پذیر و نسخه آن نمایش داده می‌شود. شکل زیر نمونه‌ای از خروجی مربوط به سه آسیب‌پذیری پیداشده را نشان داده است:
 

پس از پایان پویش گزارش خلاصه‌ای از آسیب‌پذیری‌های پیداشده به‌صورت زیر نمایش داده می‌شود (تعداد آسیب‌پذیری‌های پیداشده به تفکیک درجه خطر آن‌ها، راهنمای وصله‌کردن آسیب‌پذیری‌ها). همان طور که در این خلاصه گفته شده است نتایج پویش در فایلی با نام Log4j_Vulnerabilities.txt نیز ذخیره می‌شود.
 

شرکت Apache در به‌روزرسانی‌های اخیر خود دو #‫آسیب‌پذیری بحرانی و شدت بالا را در HTTP سرور‌های خود رفع کرده است. این آسیب‌پذیری‌ها با شناسه CVE-2021-44790 و CVE-2021-44224 و شدت 9.8 و 8.2 شناخته شده و نسخه‌های پیش از 2.4.51 از Apache HTTP Server را تحت تاثیر خود قرار می‌دهند.
مهاجم با بهره‌برداری از این آسیب‌پذیری‌ها قادر است کد دلخواه خود را در وب‌سرورهای آسیب‌پذیر اجرا کند یا منجر به اقدامات غیرمجاز یا دسترسی به داده‌های حساس سازمان شده و در نهایت کنترل سیستم آسیب‌پذیر را به دست گیرد. هیچ‌گونه روشی جهت کاهش مخاطرات این آسیب‌پذیری‌ها منتشر نشده است؛ لذا به کاربران توصیه می‌شود هرچه سریع‌تر به‌روزرسانی‌های منتشر شده را در سیستم‌های آسیب‌پذیر اعمال نمایند.

https://www.cisa.gov/uscert/ncas/current-activity/2021/12/22/apache-releases-security-update-http-server
https://nvd.nist.gov/vuln/detail/CVE-2021-44790
https://nvd.nist.gov/vuln/detail/CVE-2021-44224
https://httpd.apache.org/security/vulnerabilities_24.html

ابزارهای متعددی برای ارزیابی و اسکن آدرس‌های آسیب‌پذیر به Log4shell ارایه شده است. هرکدام بخشی از نقاط آسیب‌پذیر را تشخیص می‌دهند و هیچ کدام مدعی کامل بودن نیستند. برای اسکن سایت یا ip می‌توانید از ابزار https://log4j.cert.ir استفاده نمایید.

این ابزار مانند بسیاری از ابزارهای معتبر دیگر ممکن است یک مورد آسیب‌پذیر را به عنوان عدم آسیب‌پذیر تشخیص دهد. لذا توصیه می‌شود به خروجی این ابزار بسنده نکرده و با توجه به دستورالعمل‌های امن‌سازی نسبت به ارتقاء کتابخانه‌ی log4j و سایر اقدامات توصیه شده مراجع ذیصلاح اقدام نمایید.

در نسخه‌های 2.2.x (از 2.2.0 تا 2.2.25)، 3.1.x (از 3.1.0 تا 3.1.14) و 3.2.x (از 3.2.0 تا 3.2.10) فریم‌ورک Django، آسیب‌پذیری با شدت بالا (7.3 از 10) وجود دارد. در این آسیب‌پذیری مهاجم به‌صورت ریموت و از راه دور، می‌تواند با دستکاری مسیر و URL درخواست‌های HTTP که حاوی دنباله‌ای از مقادیر %0A باشد (این مقدار معادل خط جدید و NewLine در utf8 است.) کنترل سطح دسترسی و HTTP Request Handler را دور زده و دسترسی غیرمجاز به عملکردهای محدود شده، اتخاذ نماید. جدول زیر مشخصات کلی آسیب‌پذیری مذکور را نشان می‌دهد.

آخرین نسخه فریم‌ورک Django، 4.0 است که لازم است نسخه‌های قدیمی و آسیب‌پذیر به این نسخه ارتقاء یابند.

مطابق اعلام شرکت VMware تعداد قابل توجهی از محصولات این شرکت نسبت به آسیب‌پذیری‌های بحرانی اخیر در کتابخانه log4j (Log4Shell) آسیب‌پذیر هستند. برخی از این محصولات آسیب‌پذیر عبارتند از:

• VMware Horizon
  VMware Horizon Agents Installer
  VMware Horizon DaaS
  VMware Horizon Cloud Connector
• VMware vCenter Server
  VMware vCenter Cloud Gateway
  VMware Site Recovery Manager, vSphere Replication
  VMware HCX
  VMware NSX-T Data Center
  VMware vRealize Operations
  VMware vRealize Operations Cloud Proxy
  VMware vRealize Automation
  VMware vRealize Lifecycle Manager
  VMware vRealize Orchestrator
  VMware NSX Data Center for vSphere
  VMware AppDefense Appliance
  VMware vRealize Log Insight
  VMware Smart Assurance SAM [Service Assurance Manager]
  VMware Integrated OpenStack
  VMware vRealize Business for Cloud
  VMware vRealize Network Insight
  VMware SD-WAN VCO
  VMware NSX-T Intelligence Appliance

بهره‌برداری از آسیب‌پذیری‌های موجود در کتابخانه Log4j (CVE-2021-44228 و CVE-2021-45046) منجر به RCE می‌شود. با توجه به گستردگی نسبی استفاده از محصولات VMware در سطح کشور و مشاهده‌ی بهره‌برداری‌های فعال مهاجمان از این آسیب‌پذیری، علاوه بر به‌روزرسانی محصولات به آخرین نسخه توصیه می‌شود اقداماتی که در ادامه آمده است جهت امن‌سازی و کاهش مخاطرات آسیب‌پذیری‌های مذکور در دو محصول VMware Horizon و vCenter Server انجام شود. لیست کامل محصولات آسیب‌پذیر و دستورالعمل امن‌سازی آنها در پیوند زیر قابل مشاهده است:

https://www.vmware.com/security/advisories/VMSA-2021-0028.html

امن‌سازی محصولاتی که به طور مستقیم از طریق اینترنت در دسترس هستند را در اولویت قرار دهید.

1. vCenter Server

با توجه به اینکه در حال حاضر نسخه‌ی وصله‌ شده‌ای برای vCenter Server منتشر نشده است اکیداً توصیه می‌شود به عنوان راهکار موقت از اسکریپت پایتونی عرضه شده توسط VMware (vc_log4j_mitigator.py) موجود در آدرس زیر استفاده نمایید:

https://kb.vmware.com/sfc/servlet.shepherd/version/download/0685G00000d7pBBQAY

این اسکریپت به‌تنهایی قادر است مخاطرات ناشی از آسیب‌پذیری‌های CVE-2021-44228 و CVE-2021-45046 را درvCenter Server ویندوزی کاهش دهد. برای اجرای اسکریپت در vCenter ویندوزی:

• محیط cmd (administrator) را باز کرده و دستور زیر را اجرا کنید. این دستور همه‌ی سرویس‌های vCenter را متوقف کرده، فایل‌های مورد نظر را به‌روز کرده، فایل‌های JndiLookup.class را حذف کرده و درنهایت سرویس‌ها را مجدداً راه‌اندازی می‌کند.

%VMWARE_PYTHON_BIN% vc_log4j_mitigator.py

• برای اطمینان از اینکه بعد از اجرای اسکریپت هیچ فایل آسیب‌پذیر دیگری باقی نمانده است مجدداً اسکریپت را اینبار با سوییچ –r (dry run) به صورت زیر اجرا کنید:

%VMWARE_PYTHON_BIN% vc_log4j_mitigator.py -r

درصورتیکه هیچ فایل آسیب‌پذیری یافت نشد مخاطرات ناشی از Log4Shell به طور کامل در vCenter کاهش یافته است.
جهت اطلاعات دقیق‌تر و درصورتیکه تمایل دارید فرآیند کاهش مخاطرات را به صورت دستی انجام دهید به پیوند زیر مراجعه کنید:

https://kb.vmware.com/s/article/87096

اسکریپت مربوط به vCenter غیرویندوزی (Virtual Appliance) که عملکردی مشابه اسکریپت قبلی دارد نیز در لینک زیر در دسترس است:

https://kb.vmware.com/sfc/servlet.shepherd/version/download/0685G00000d7ovWQAQ

- پس از دانلود اسکریپت با استفاده از دستور زیر آن را اجرا کنید:

python vc_log4j_mitigator.py

- برای اطمینان از اینکه بعد از اجرای اسکریپت هیچ فایل آسیب‌پذیر دیگری باقی نمانده است مجدداً اسکریپت را اینبار با سوییچ –r (dry run) به صورت زیر اجرا کنید:

python vc_log4j_mitigator.py -r

جهت اطلاعات دقیق‌تر و درصورتیکه تمایل دارید فرآیند را به صورت دستی انجام دهید به پیوند زیر مراجعه کنید:

https://kb.vmware.com/s/article/87081

2. VMware Horizon

اکیداً پیشنهاد می‌شود در صورتی‌که امکان به‌روزرسانیVMware Horizon را دارید از راهکارهای موقت به‌عنوان راهکار دائم استفاده نکرده و نسخه وصله شده را نصب کنید:
راهکار موقت دستی برای Horizon Connection Server:

https://kb.vmware.com/s/article/87073#Manual_Mitigation_for_Horizon_Connection_Server

راهکار موقت با استفاده از اسکریپت برای Horizon Connection Server Agent for Windows, HTML Access portal:

https://kb.vmware.com/s/article/87073#Scripted_Mitigation_for_Horizon_Connection_Server_Agent_for_Windows_HTML_Access_portal

راهکار موقت مربوط به Horizon Agent برای لینوکس بااستفاده از اسکریپت:

https://kb.vmware.com/s/article/87073#Scripted_Mitigation_for_Horizon_Agent_for_Linux

راهکار موقت دستی مربوط به Horizon Agent برای لینوکس:

https://kb.vmware.com/s/article/87073#Mitigation_for_Horizon_Agent_for_Linux

منبع:

https://www.vmware.com/security/advisories/VMSA-2021-0028.html

اخیراً در به‌روزرسانی‌های ماه دسامبر #‫مایکروسافت، تعدادی ‫آسیب‌پذیری منتشر و وصله شده‌اند. در بین آسیب‌پذیری‌های منتشر شده، دو آسیب‌پذیری دور زدن محدودیت‌‌های امنیتی با شناسه‌های CVE-2021-42287 و CVE-2021-42278 و با شدت 7.5 از 10 وجود دارند که مهاجم با ترکیب این دو آسیب‌پذیری و بهره‌برداری از آن‌ها قادر است با به خطر انداختن کاربر عادی و افزایش سطح دسترسی خود به یک سرپرست دامنه، دامنه ویندوز را به طور کامل تحت کنترل خود گیرد.
به کاربران توصیه می‌شود هرچه سریع‌تر به‌روزرسانی‌های منتشر شده را در سیستم‌های آسیب‌پذیر اعمال نمایند. همچنین جهت کاهش مخاطرات این آسیب‌پذیری‌ها توصیه می‌شود حالت Enforcement روی کنترل کننده‌های دامنه فعال گردد.
محصولات تحت تاثیر این آسیب‌پذیری‌ها به شرح زیر است:

• Windows Server 2012 R2 (Server Core Installation)
• Windows Server 2012 R2
• Windows Server 2012 (Server Core Installation)
• Windows Server 2012
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2016 (Server Core installation)
• Windows Server 2016
• Windows Server, version 20H2 (Server Core Installation)
• Windows Server, version 2004 (Server Core installation)
• Windows Server 2022 (Server Core installation)
• Windows Server 2022
• Windows Server 2019 (Server Core installation)
• Windows Server 2019

منابع:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278
https://support.microsoft.com/en-us/topic/kb5008102-active-directory-security-accounts-manager-hardening-changes-cve-2021-42278-5975b463-4c95-45e1-831a-d120004e258e
https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287