در حال حاضر آخرین نسخه از نرم‌افزار Adobe Connect نسبت به آسیب‌پذیری‌های بحرانی اخیر در کتابخانه log4j (Log4Shell) که بهره‌برداری از آنها منجر به RCE می‌شود، ایمن نیست لذا با توجه به گستردگی استفاده از این نرم‌افزار در سطح کشور، توصیه می‌شود اقداماتی که در ادامه آمده است جهت امن‌سازی و کاهش مخاطرات آسیب‌پذیری‌های مذکور انجام شود.

امن‌سازی/کاهش مخاطرات آسیب‌پذیری (CVE-2021-44228) با شدت 10 از 10:

1. افزودن متغیر محلی سیستمی «LOG4J_FORMAT_MSG_NO_LOOKUPS» با مقدار true

2. راه‌اندازی مجدد (restart) سرور یا سرویس‌های نرم‌افزار Adobe Connect

امن‌سازی/کاهش مخاطرات آسیب‌پذیری (CVE-2021-45046) با شدت 9 از 10:
این آسیب‌پذیری با به‌روزرسانی Log4j به نسخه 2.16.0 برطرف خواهد شد. ازآنجایی‌که در حال حاضر نسخه‌ی جدیدی از نرم‌افزار Adobe Connect که حاوی log4j با نسخه‌ی 2.16.0 باشد، منتشر نشده است، جهت کاهش مخاطرات این آسیب‌پذیری و حذف کلاس JndiLookup، در سرور لینوکسی دستور زیر را اجرا کنید:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

و برای حذف کلاس JndiLookup در سرور ویندوزی:
1. همه‌ی سرویس‌های Adobe Connect را متوقف کنید.
2. دستور cmd زیر را به صورت آدمین اجرا کنید :

FOR /R C:\Connect %v IN (log4j-core-*.jar) DO "C:\Program Files\7-Zip\7z.exe" d "%v" org/apache/logging/log4j/core/lookup/JndiLookup.class

3. همه‌ی سرویس‌های Adobe Connect را مجدداً راه‌اندازی کنید.

منبع:

https://www.connectusers.com/forums/viewtopic.php?pid=50455#p50455

با توجه به حساسیت و شدت خطر ‫آسیب‌پذیری log4j در صورتی که از waf ،UTM یا IDS استفاده می‌کنید، حتما قواعد مرتبط با جلوگیری از این حمله را بروزرسانی کنید. مرکز ماهر به تولیدکنندگان این گونه محصولات امنیتی داخلی هشدار لازم جهت اعمال قواعد مرتبط با جلوگیری و تشخیص این حملات را ارسال کرده است. همچنین اگر از محصول خارجی از این نوع استفاده می‌نمایید، حتما بروزرسانی‌های مرتبط امضاءهای این حمله را از شرکت مربوطه دریافت نمایید. در حال حاضر تعدادی زیادی مهاجم در حال اسکن و یافتن نقاط آسیب‌پذیر برای انجام حمله از طریق این اسیب‌پذیری هستند.

اخیراً یک ‫آسیب‌پذیری روزصفرم بحرانی در کتابخانه Log4j مربوط بهApache یافت شده است و از آن‌جایی که این کتابخانه کاربرد بسیاری دارد، آسیب‌پذیری مذکور بخش بزرگی از اینترنت را تحت تاثیر خود قرار می‌دهد. در واقع با توجه به اینکه این کتابخانه با زبان جاوا پیاده‌سازی شده است، تقریباً هر سروری که از زبان جاوا استفاده می‌کند (نسخه‌های پیش از 2.14.1 کتابخانه Log4j و نسخه‌های جاوای پیش از 6u212، 7u202، 8u192 و 11.0.2)، نسبت به این آسیب‌پذیری آسیب‌پذیر است. در برخی موارد برنامه به‌طور مستقیم از کتابخانه Log4j2 استفاده نمی‌کند اما ممکن است برخی زیرساخت‌های آن اعم از سرور برنامه، سرور پایگاه داده یا دستگاه های شبکه از این کتابخانه استفاده کنند که کاربر را در معرض خطر این آسیب‌پذیری قرار می‌دهد؛ لذا به کاربران توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سرور‌های آسیب‌پذیر اقدام کنند. (به‌روزرسانی به نسخه rc2- 2.15.0 و جاوا نسخه 8u121)
این آسیب‌پذیری با شناسه CVE-2021-44228 شناخته شده و دارای شدت بحرانی 10 از 10 است. این آسیب‌پذیری از راه دور و بدون احرازهویت قابل بهره‌برداری است و مهاجم با بهره‌برداری موفق از این آسیب‌پذیری قادر است کد دلخواه خود را در سرور‌های آسیب‌پذیر اجرا نماید. آسیب‌پذیری CVE-2021-44228 در حال حاضر تحت بهره‌برداری فعال قرار داشته و اکسپلویت آن در لینک زیر موجود است:

https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce

جهت کاهش مخاطرات این آسیب‌پذیری به طور موقت، راهکارهای زیر پیشنهاد می‌شود:

• تنظیم مقدار true برای ویژگی log4j2.formatMsgNoLookups
• حذف کلاس JndiLookup از مسیر کلاس‌ها

منابع:

www.cloudsavvyit.com/15042/critical-rce-zero-day-exploit-found-in-popular-java-logging-library-log4j-affects-much-of-the-internet/
https://access.redhat.com/security/cve/cve-2021-44228
https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://www.oracle.com/security-alerts/alert-cve-2021-44228.html?source=:em:eo:ie:cpo:::RC_WWMK210714P00017:SEV400208211
https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
https://www.veracode.com/blog/security-news/urgent-analysis-and-remediation-guidance-log4j-zero-day-rce-cve-2021-44228
https://www.cert.govt.nz/it-specialists/advisories/log4j-rce-0-day-actively-exploited/

حملات باج‌افزاری از آسیب‌زننده‌ترین حملات سایبری سال‌های اخیر هستند که لطمات جدی به کسب و کارها و سازمان‌های مختلف در داخل و خارج کشور زده‌اند. شدت تاثیر این حملات به حدی است که در شماری از کشورها، استراتژی‌های مشخصی برای پیگیری و پاسخگویی به این حملات و مهاجمین پشت پرده تدوین و ابلاغ شده است. رعایت شماری از اقدامات پیشگیرانه می‌تواند مانع از دست رفتن اطلاعات و یا محدودسازی اطلاعات از دست رفته شود. این نکات عبارتند از:

• تهیه و نگهداری کپی‌های پشتیبان از اطلاعات بصورت آفلاین. لازم به توجه است این نسخه پشتیبان لزوما باید بصورت کاملا آفلاین بوده و بطور فیزیکی از شبکه و سیستم‌ها جدا باشد. وجود هرگونه ارتباط آنلاین نظیر NAS متصل به شبکه، هارد اکسترنال متصل به پورت USB یا پارتیشن NAS متصل به سرورها می‌تواند در هنگام وقوع حمله منجر به از بین رفتن کپی پشتیبان به همراه داده‌های اصلی گردد.
• بررسی و صحت‌سنجی مداوم نسخه‌های پشتیبان آفلاین
• جداسازی (Segmentation) شبکه به زیرشبکه‌های کوچک و با دسترسی محدود و کنترل شده
• اعمال سیاست‌های سخت‌گیرانه در دسترسی‌های لبه‌ی شبکه به ویژه مسدودسازی دسترسی‌های مدیریتی راه دور نظیر RDP/SSH/Telnet و کنسول‌های مدیریتی تحت وب تجهیزات مختلف
• مسدودسازی پیوست‌های خطرناک در سرویس‌ دهنده‌های ایمیل سازمان
• عدم استفاده از نرم‌افزارهای نامطمئن به‌ویژه برنامه‌های کرک شده و نامعتبر
• نصب و بروزرسانی آنتی ویروس در سطح همه‌ی سیستم‌های متصل به شبکه
• رصد و پایش سرور اکتیودایرکتوری به عنوان مهم‌ترین سیستم در سطح شبکه
• بروزرسانی پیوسته‌ی نرم‌افزارها و سیستم‌های عامل‌ها
• از دستکاری سیستم آلوده تا حد امکان خودداری شود. اگر از داده‌ی پشتیبان وجود دارد بهتر است تا زمانیکه بدافزار پاکسازی نشده از بازیابی خودداری شود. چرا که وجود بدافزار ممکن است منجر به آلودگی مجدد شده و پشتیبانها نیز از دست بروند.
• حین حادثه رایانه‌های آلوده سریعا خاموش شده و از راه‌اندازی مجدد آن از طریق سیستم عامل خود دستگاه خودداری شود.
• حین حادثه تمامی هارد‌ها و رسانه‌های ذخیره‌سازی به صورت فیزیکی از مدار خارج شوند.

‫آسیب‌پذیری با شناسه CVE-2021-44515 و شدت خطر بحرانی به مهاجم احراز هویت نشده راه دور امکان احراز هویت به سرویس دهنده را از را دور بزند و به صورت مستقیم کد دلخواه خود را بر روی سرور Desktop Central MSP اجرا نماید. متخصصان امنیت هشدار داده اند که با پیوستن این آسیب پذیری به زنجیره دو آسیب پذیری دیگر که اخیرا انتشار یافته یعنی CVE-2021-44077, CVE-2021-40539 می تواند باعث شود که مهاجمان، زیر ساخت های شبکه یک سازمان را به خطر بی اندازند.
تمامی نسخه های قبل از 12002 مستعد این آسیب پذیری است.
به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا نسخه مورد استفاده خود را به آخرین نسخه به روز نمایند.
مدیران و مسئولان مربوطه می توانند با استفاده از فایل RCEScan.bat قرار داده شده در لینک زیر از صحت آلوده بودن یا آلوده نبودن سیستم خود اطمینان حاصل نمایند.

https://downloads.zohocorp.com/dnd/Desktop_Central/XTsIm8tSrnzjXhW/detector.zip

نحوه اجرای این تکه برنامه به شکل زیر می باشد.
ابتدا فایل را در یکی از مسیر های زیر کپی کرده و مطابق شکل از طریق Command Prompt آن را اجرا می نمایم :

\ManageEngine\UEMS_CentralServer\bin folder

or

ManageEngine\DesktopCentral_Server\bin folder

منبع:

https://thehackernews.com/2021/12/warning-yet-another-zoho-manageengine.html

وقوع رخدادهای متعدد نشت اطلاعات از پایگاه‌های داده‌ی شرکت‌ها و سازمان‌های دولتی و خصوصی در فضای مجازی ‌عمدتا متاثر از فهرست مشترکی از خطاها و ضعف‌های امنیتی در پیاده‌سازی و تنظیمات است. این ضعف‌ها باعث می‌شوند در برخی موارد دسترسی به داده‌های سازمان‌ها و کسب و کارها حتی نیاز به دانش عمیق هک و نفوذ نداشته باشد و با یکسری بررسی‌ها و جستجوهای ساده داده‌ها افشا می‌شوند. لذا به‌‌منظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها اکیدا توصیه می‌گردد اقدامات زیر صورت پذیرد:

• عدم اتصال مستقیم پایگاه‌های داده به صورت مستقیم به شبکه اینترنت. تا حد امکان لازم است دسترسی مستقیم به پایگاه‌های داده از طریق اینترنت برقرار نگردد. یکی از مواردی که باعث این اشتباه بزرگ می‌شود روال پشتیبانی شرکت‌های ارائه دهنده راهکارهای نرم‌افزاری کاربردی است که برای انجام پشتیبانی 24*7، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانک‌های اطلاعاتی می‌کنند. در صورت اجبار شرکت‌ها و سازمان‌ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود.
• دقت در راه‌اندازی پایگاه‌های داده‌ به ویژه انواع پایگاه‌های داده‌ی NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده. لازم به توجه است بسیاری از موارد نشت اطلاعات مربوط به پایگاه‌های داده‌ای است که به طور موقت و جهت انجام فعالیت‌های موردی و کوتاه مدت راه‌اندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاه‌های داده هم‌تراز پایگاه‌های اصلی درنظر گرفته شود.
• بررسی و غیرفعال‌سازی قابلیت Directory Listing غیر ضروری در سرویس‌ دهنده‌های وب جهت جلوگیری از دسترسی به فایل‌ها.
• دقت در وضعیت دسترسی به دایرکتوری‌های محل بارگزاری داده‌ها و اسناد توسط کاربران وبسایت نظیر دایرکتوری‌های uploads و temp و ... .علاوه بر لزوم کنترل دسترسی‌ها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج گردند.
• سرویس دهنده‌ها‌ی رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra با توجه به انتشار عمومی آسیب‌پذیری‌های حیاتی و اکسپلویت‌های مربوطه طی سال‌های اخیر مورد سواستفاده جدی قرار گرفته‌‌اند. در صورت استفاده از این سرویس‌دهنده‌ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله‌های امنیتی منتشر شده اطمینان حاصل گردد.
• از عدم دسترسی مستقیم از طریق اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLo، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال و ... اطمینان حاصل نمایید. این دسترسی‌ها لازم است از طریق سرویس VPN اختصاصی و یا بر اساس آدرس IP مبدا مجاز محدود گردند.
• از نگهداری هرگونه نسخه پشتیبان از سیستم‌ها بر روی سرور وب خودداری نمایید.
• جهت اطمینان از عدم وجود دسترسی به سرویس‌ها و سامانه‌ها به صورت ناخواسته، نسبت به اسکن ساده‌ی سرویس‌های فعال بر روی بلوک‌های IP سازمان خود به صورت مداوم اقدام نموده و سرویس‌های مشاهده شده‌ی غیرضروری را از دسترسی خارج نمایید.

لازم به ذکر است این موارد به هیچ عنوان جایگزین فرایندهای کامل امن‌سازی و ارزیابی امنیتی نبوده و صرفا برطرف کننده شماری از ضعف‌های جدی مشاهده شده می‌باشند.

‫آسیب‌پذیری با شناسه CVE-2021-44077 و شدت خطر بحرانی به مهاجم احراز هویت نشده راه دور امکان اجرای کد دلخواه را می‌دهد. آسیب پذیری مذکور از عملکرد ناسالم و ناشناخته فایل /RestAPI نشات گرفته که سه اصل محرمانگی، یکپارچگی و دسترس‌پذیری را تحت تاثیر خود قرار می‌دهد.

نسخه‌های آسیب پذیر
تمامی نسخه‌های قبل از 11306 مستعد این آسیب‌پذیری هستند.
راه‌حل
به مدیران و مسئولان مربوطه اکیدا توصیه می‌شود تا نسخه مورد استفاده خود را به آخرین نسخه به‌روز نمایند.
منبع:

https://pitstop.manageengine.com/portal/en/community/topic/security-advisory-for-cve-2021-44077-unauthenticated-rce-vulnerability-in-servicedesk-plus-versions-up-to-11305-22-11-2021

تعدادی وصله‌ی امنیتی غیررسمی به منظور محافظت از کاربران ویندوزی در برابر ‫آسیب‌پذیری روزصفر ارتقاء سطح دسترسی محلی (Local Privilege Escalation)‬ که به آن LPE نیز گفته می‌شود منتشر شده است. این آسیب‌پذیری در سرویس Mobile Device Management وجود دارد و سیستم‌های دارای سیستم‌عامل Windows 10 نسخه 1809 و بالاتر را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری امنیتی با شناسه CVE-2021-24084، زیرمجموعه تنظیمات "Access work or school" است و وصله‌ی امنیتی منتشر شده توسط مایکروسافت در ماه فوریه را که برای رفع این نقصِ افشای اطلاعات بود، دور می‌زند. یک محقق امنیتی به نام Abdelhamid Naceri (که آسیب‌پذیری اولیه را گزارش کرده بود)، در این ماه کشف کرد که این نقصِ ناقص‌وصله‌شده، می‌تواند برای به دست آوردن سطح دسترسی ادمین، پس از افشای عمومی این باگ مورد سوءاستفاده قرار گیرد.
Mitja Kolsek، یکی از بنیانگذاران 0patch توضیح داد:"آنچه از HiveNightmare/SeriousSAM به دست می‌آید این است که اگر بدانید کدام فایل‌ها را باید بردارید و با آن‌ها چکار کنید، آن‌گاه می‌توان یک افشای فایل دلخواه را به افزایش سطح دسترسی محلی ارتقاء داد." در حالی که مایکروسافت به احتمال زیاد متوجه افشای Naceri در ماه ژوئن شده است، این شرکت هنوز باگ LPE را اصلاح نکرده و سیستم‌های ویندوز 10 با آخرین به‌روزرسانی‌های امنیتی نوامبر 2021 را در معرض حملات قرار می‌دهد.
خوشبختانه مهاجمان تنها در صورتی می‌توانند از این نقص بهره‌برداری کنند که دو شرط زیر برآورده شود:

• System protection باید در درایو C فعال باشد و حداقل یک نقطه بازیابی ایجاد شود، اینکه System protection به طور پیش‌فرض فعال است یا خیر، به پارامترهای مختلفی بستگی دارد.
• حداقل یک حساب کاربری administrator محلی باید در سیستم فعال باشد، یا حداقل اطلاعات یک حساب کاربری عضو گروه "Administrator" باید در حافظه نهان ذخیره شده باشد.

تا زمانی که مایکروسافت به‌روزرسانی‌های امنیتی را برای رفع این نقص منتشر کند (احتمالاً در Patch Tuesday ماه آینده)، سرویس 0patch micropatch، وصله‌های رایگان و غیررسمی را برای همه نسخه‌های Windows 10 آسیب‌پذیر منتشر کرده است (Windows 10 21H2 نیز تحت تأثیر قرار گرفته است اما هنوز توسط 0patch پشتیبانی نمی‌شود). نسخه‌های تحت تأثیر این آسیب‌پذیری عبارتند از:

• Windows 10 v21H1 (32 & 64 bit) updated with November 2021 Updates
• Windows 10 v20H2 (32 & 64 bit) updated with November 2021 Updates
• Windows 10 v2004 (32 & 64 bit) updated with November 2021 Updates
• Windows 10 v1909 (32 & 64 bit) updated with November 2021 Updates
• Windows 10 v1903 (32 & 64 bit) updated with November 2021 Updates
• Windows 10 v1809 (32 & 64 bit) updated with May 2021 Updates

Kolsek افزود: "ویندوز سرورها تحت تأثیر این آسیب‌پذیری قرار ندارند، چرا که عملکرد آسیب‌پذیر در آن‌ها وجود ندارد. این در حالی است که برخی از ابزارهای similar diagnostics بر روی سرورها وجود دارند، اما از آنجا که تحت هویت کاربر اجرا می‌شوند نمی‌توانند مورد بهره‌برداری قرار بگیرند." همچنین Windows 10 v1803 و نسخه‌های قدیمی‌تر ویندوز به نظر نمی‌رسد که تحت تأثیر قرار گرفته باشند و در حالی که عملکرد 'Access work or school' را دارند، چون رفتار متفاوتی نشان می‌دهند، بنابراین نمی‌توانند مورد بهره‌برداری قرار گیرند. Windows 7 نیز اصلاً 'Access work or school' را ندارد. 0patch تا زمانی که مایکروسافت یک وصله‌ رسمی برای این نقص منتشر کند، میکروپچ‌های رایگان برای این آسیب‌پذیری ارائه می‌دهد. کاربرانی که می‌خواهند میکروپچ‌ها را نصب کنند، می‌توانند یک حساب کاربری رایگان در 0patch Central ایجاد کنند، سپس 0patch Agent را از 0patch.com نصب کنند. این شرکت اشاره کرد که نیازی به راه‌اندازی مجدد کامپیوتر نخواهد بود.

https://www.bleepingcomputer.com/news/security/new-windows-10-zero-day-gives-admin-rights-gets-unofficial-patch/
https://securityaffairs.co/wordpress/125061/security/unofficial-patches-cve-2021-24084-zeroday.html?utm_source=rss&utm_medium=rss&utm_campaign=unofficial-patches-cve-2021-24084-zeroday

آسیب‌پذیری در QNAP با شناسه CVE-2021-38685 و شدت خطر CVSS 9.8 به مهاجم راه دور امکان اجرای فرمان بر روی دستگاه‌های آسیب‌پذیر را می‌دهد. علاوه بر این آسیب پذیری دیگر CVE-2021-38686 با شدت خطر 8.8 شناسایی شده است که از ضعف در مکانیزم احراز هویت سرویس‌دهنده نشأت می‌گیرد.

نسخه‌های آسیب پذیر
تمامی نسخه‌های قبل از نسخه QVR 5.1.6 و build 20211109 آسیب‌پذیر می باشند.

راه‌حل
به مدیران و مسئولان مرتبط اکیدا توصیه می‌شود تا در اسراع وقت نسخه نرم‌افزار خود را به آخرین نسخه به روز نمایند.

منبع:

https://california18.com/qnap-two-closed-security-holes-in-qnap-vs-series-nvr/1736012021

هکرها با بهره‌برداری از آسیب‌پذیری‌های ProxyShell و ProxyLogon، سرورهای Microsoft Exchange را مورد حمله قرار داده‌اند. هکرها با ارسال ایمیل‌هایی با پیوست‌های بدافزار یا لینک‌های حاوی پیام‌های مخرب، زنجیره آلوده‌سازی را وسیع‌تر می‌کنند. عوامل تهدید از تعدادی تکنیک که جهت گمراه‌سازی کاربران برای باز کردن ایمیل و پیوست مخرب است، استفاده می‌کنند. این روش‌ها می‌تواند جعل یک فرستنده قانونی، یا یک ایمیل ساختگی که به نظر می‌رسد از یک شرکت معتبر ارسال شده است، باشد. محققان TrendMicro یک نقص در سرورهای مایکروسافت Exchange کشف کرده‌اند که برای توزیع ایمیل‌های مخرب بین کاربران داخلی یک شرکت استفاده می‌شود. اعتقاد بر این است که هکرهای پشت این حمله از گروه معروف TA هستند که ایمیل‌هایی را با پیوست‌های مخرب توزیع می‌کند. این گروه در گذشته با استفاده از فرمت‌های فایل زیر در ایمیل‌های خود کمپین‌های متعدد توزیع بدافزار داشته‌اند:

• Microsoft Office Files (.doc, .xls, .ppt)
• Rich Text Format (.rtf)
• Portable Document Format (.pdf)
• Single File Web Page (.mht)
• Compiled HTML (.chm)
• Compiled Help File (.chm or .hlp)
• Shell Executable files (.exe, .com, or .bat)

در این حملات آسیب پذیری‌هایی که مورد سوء استفاده قرار می‌گیرند عبارتند از:

• CVE-2021-34473: The pre-auth path confusion
• CVE-2021-34523: Exchange PowerShell backend elevation-of- privilege
• CVE-2021-26855: The pre-authentication proxy vulnerability

توصیه شرکت مایکروسافت به کاربران خود این بوده است که سرورهای Exchange خود را همیشه به روزرسانی کنید.

منابع:

https://gbhackers.com/hackers-target-microsoft-exchange-servers/
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-in-internal-reply-chain-attacks/