اخیراً یک نقص امنیتی در سیستم‌عامل‌های ویندوزی یافت شده که به موجب آن مهاجم قادر است سیستم‌های ویندوزی آسیب‌پذیر به طور خاص ویندوز سرورها را هدف قرار داده و کنترل آن را بدست گیرد:

• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2016
• Windows Server, version 20H2
• Windows Server, version 2004
• Windows Server 2019

این حمله که یک نوع حمله‌ی NTLM relay می‌باشد، به نام PetitPotam شناخته شده است. به‌طور کلی مهاجمان در حمله PetitPotam، از سرویس‌های موجود در دامنه که از احراز هویت NTLM استفاده می‌کنند و در برابر حملات NTML relay محافظت نشده‌اند، بهره‌برداری می‌کند.
‫مایکروسافت برای جلوگیری از این نوع حملات توصیه کرده است تا در سیستم‌ها به خصوص DCهایی که احراز هویت NTLM مورد استفاده قرار نگرفته است، NTLM غیرفعال شود؛ در صورت عدم امکان غیرفعال‌سازی، مدیران دامنه باید اطمینان حاصل کنند که هر سرویسی که از احراز هویت NTLM استفاده می‌کند با استفاده از مکانیزم EPA (Extended Protection for Authentication) یا SMB signing در برابر حملات مورد بحث و سرقت اعتبارنامه‌ی سیستم‌های ویندوزی محافظت شده‌ است.
به عنوان مثال یکی از سرویس‌هایی که به‌طور پیش‌فرض از احراز هویت NTLM استفاده می‌کند سرویس certificate اکتیو دایرکتوری یا ADCS (Active Directory Certificate Service) است که می‌تواند در این حملات مورد بهره‌برداری قرار گیرد. برای اطلاع از جزییات چگونگی محافظت از سرورهای ADCS در برابر حملات مذکور و کاهش مخاطرات آن، به پیوند زیر مراجعه کنید:

https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

به گفته‌ی مایکروسافت در صورتی که احراز هویت NTLM در دامنه فعال بوده و Certificate Service موجود در اکتیو دایرکتوری یا AD CS به همراه هر یک از سرویس‌های زیر استفاده شود، سیستم آسیب‌پذیر است:

• Certificate Enrollment Web Service
• Certificate Authority Web Enrollment

در اکثر موارد احراز هویت NTLM در شبکه فعال است و سرورهای AD CS نیز به طور پیش‌فرض در برابر حملات NTLM relay محافظت نشده‌اند. با توجه به اینکه اجرای موفق این حمله می‌تواند منجر به تحت کنترل گرفتن DC و در آخر کل شبکه سازمان شود، توصیه می‌شود در اسرع وقت نسبت به مقاوم‌سازی سرویس‌ها و سرورهای موجود در دامنه که از احراز هویت NTLM استفاده می‌کنند، اقدام کنید.

منابع:

https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

https://isc.sans.org/forums/diary/Active+Directory+Certificate+Services+ADCS+PKI+domain+admin+vulnerability/27668/

شرکت Adobe به‌روزرسانی‌هایی را به منظور وصله چندین ‫آسیب‌پذیری در محصولات خود منتشر کرده است. توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام شود.
این آسیب‌پذیری‌ها محصولات زیر را تحت تاثیر خود قرار می‌دهند:

• Adobe Photoshop
• Adobe Audition
• Adobe Character Animator
• Adobe Prelude
• Adobe Premiere Pro
• Adobe After Effects
• Adobe Media Encoder
• Adobe Bridge
• Adobe Acrobat and Reader
• Adobe Framemaker
• Adobe Illustrator
• Adobe Dimension

در جدول زیر برخی از آسیب‌پذیری‌های شدت بالا موجود در دو محصول پرکاربرد Adobe آورده شده است:

جهت کسب اطلاعات بیشتر در مورد سایر آسیب‌پذیری‌های موجود در محصولات Adobe که در این به‌روزرسانی وصله شده‌اند به پیوند زیر مراجعه کنید:

https://helpx.adobe.com/security.html

شرکت Atlassian از وجود یک ‫آسیب‌پذیری بحرانی در نسخه‌ی 6.3.0 محصولات Jira Data Center، Jira Core Data Center، Jira Software Data Center و Jira Service Management Data Center خبر داده است. این آسیب‌پذیری که از وجود امکان دسترسی نامحدود به پورت‌های Ehcache RM ناشی می‌شود، امکان اجرای کد از راه دور بر روی سیستم آسیب‌پذیر را برای مهاجم فراهم می‌کند. محصولات آسیب‌پذیر آورده شده در جدول زیر سرویس Ehcache RMI را در پورت‌های 40001 و احتمالاً 40011 اجرا کرده و در معرض دسترس مهاجمان قرار می‌دهند. مهاجمان می‌توانند از راه دور به این پورت‌ها متصل شده و به اجرای کد دلخواه بر روی محصولات آسیب‌پذیر Jira بپردازند.

با توجه به اینکهAtlassian از این آسیب‌پذیری به عنوان آسیب‌پذیری بحرانی یاد کرده است، توصیه می‌شود در اسرع وقت نسبت به‌ به‌روزرسانی محصولات آسیب‌پذیر اقدام کنید؛ همچنین توصیه می‌شود دسترسی به پورت‌های Ehcache RMI (40001 و احتمالاً 40011) محدود شود.
در صورت عدم امکان به‌روزرسانی، دسترسی به پورت‌های گفته شده را با استفاده از فایروال یا فناوری‌های مشابه محدود کنید.
برای اطلاع از جزییات نسخه‌های آسیب‌پذیر به هشدار منتشر شده توسطAtlassian به آدرس زیر مراجعه کنید:

https://confluence.atlassian.com/adminjiraserver/jira-data-center-and-jira-service-management-data-center-security-advisory-2021-07-21-1063571388.html

وجود چندین ‫#آسیب‌پذیری در سرویس‌دهنده WebLogic Oracle که به مهاجم احراز هویت‌نشده این امکان را می‌دهد تا با دسترسی به شبکه قربانی از این آسیب‌پذیری‌ها سوءاستفاده نماید. بهره برداری موفق از این آسیب‌پذیری ها به مهاجم این امکان را می‌دهد تا کنترل سرویس دهنده WebLogic را در دست گرفته و به اطلاعات موجود در سرویس‌دهنده دسترسی کامل داشته باشد. دسترسی مهاجم به شبکه قربانی می‌تواند از طریق سه پروتکل ارتباطی http, T3, IIOP صورت پذیرد. بحرانی ترین آسیب پذیری انتشار یافته با شناسه CVE-2019-2729 شناخته شده است که به نفوذگر راه دور این امکان را می دهد تا بدون احراز هویت از این آسیب پذیری سوءاستفاده نماید.

لیست آسیب پذیری ها به همراه نسخه آسیب پذیر و شدت خطر

به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا سرویس دهنده Oracle WebLogic را توسط وصله های امنیتی منتشر شده وصله نموده و سرویس دهنده خود را به آخرین نسخه به روز نمایند.

منبع: https://thehackernews.com/2021/07/oracle-warns-of-critical-remotely.html

در تاریخ 24 تیر ماه 1400، woocommerce از وجود یک #‫آسیب‌پذیری بحرانی در برخی نسخه‌های این افزونه‌ی وردپرسی محبوب و پرکاربرد خبر داد. این آسیب‌پذیری که از نوع تزریق دستور SQL می‌باشد برای مهاجم احراز هویت نشده امکان اجرای کد بر روی وبسایت فروشگاهی آسیب‌پذیر را فراهم می‌کند. افزونه‌‌های تحت تاثیر به شرح زیر است:

• نسخه‌های ۳.۳ تا ۵.۵.۰ افزونه WooCommerce
• نسخه‌های ۲.۵ تا ۵.۵.۰ افزونه‌ی woocommerce blocks

با توجه به اینکه بهره‌برداری از این آسیب‌پذیری در برخی حملات محدود و هدفمند مشاهده شده است، به مدیران وبسایت‌های وردپرسی اکیداً توصیه می‌شود، هر چه سریع‌تر نسبت به به‌روزرسانی این افزونه به آخرین نسخه (5.5.1) یا حذف آن اقدام نمایند.
برای اطلاع از جزییات حملات محدود و هدفمند مورد بحث و ملاحضات امنیتی بیشتر به پیوند زیر مراجعه کنید:

https://www.wordfence.com/blog/2021/07/critical-sql-injection-vulnerability-patched-in-woocommerce/
 

منبع: https://woocommerce.com/posts/critical-vulnerability-detected-july-2021

شرکت Juniper Networks به تازگی یک #‫آسیب‌پذیری بحرانی با شدت 9.8 را در محصول سرور AAA خود یعنی SBR Carrier وصله کرده است. بهره‌برداری از این آسیب‌پذیری امکان اجرای کد از راه دور بر روی سیستم آسیب‌پذیر را برای مهاجم فراهم می‌کند.

تجهیزات SBR Carrier که تنظیمات احرازهویت EAP (Extensible Authentication Protocol) در آنها فعال باشد و EAP Logging و TraceLevel در آنها به صورت زیر پیکربندی شده باشد، تحت تاثیر این آسیب‌پذیری هستند:

/JNPRsbr/radius/radius.ini
[Logging]
LogLevel=2
TraceLevel=2
EnhancedEAPLogging = yes

هیچ راهکار کاهشی/موقتی مربوط به این آسیب‌پذیری منتشر نشده است؛ لذا با توجه به شدت بالای این آسیب‌پذیری، در اسرع وقت نسبت به به‌روزرسانی سیستم‌های تحت تاثیر اقدام نمایید.
منبع:

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11180&cat=SIRT_1&actp=LIST

شرکت SonicWall در خصوص حملات فعال #‫باج_افزار ی بر روی تجهیزات دسترسی از راه دور زیر که وصله نشده یا از ثابت‌افزار نسخه‌‌های 8.x که دیگر پشتیبانی نمی‌شوند (EOL)، استفاده می‌کنند، هشدار داد:

• Secure Mobile Access (SMA) 100 series
• Secure Remote Access (SRA)

حملات باج‌افزاری با بهره‌برداری از یک #‫آسیب‌پذیری شناخته‌شده که در اوایل سال 2021 در نسخه‌های جدیدتر توسط SonicWall وصله شده بود، انجام می‌شود. سازمان‌هایی که از تجهیزات زیر با ثابت‌افزار نسخه‌های 8.x استفاده می‌کنند باید نسخه‌ی ثابت‌افزار را به نسخه‌های 9.x یا 10.x ارتقا داده و یا به‌طور کلی اتصال آن تجهیز را از اینترنت قطع نمایند:

• SRA 4600/1600 (EOL 2019)

          - قطع سریع اتصال تجهیز

          - ریست کردن رمزهای عبور

• SRA 4200/1200 (EOL 2016)

          - قطع سریع اتصال تجهیز

          - ریست کردن رمزهای عبور

• SSL-VPN 200/2000/400 (EOL 2013/2014)

          - قطع سریع اتصال تجهیز

          - ریست کردن رمزهای عبور

• SMA 400/200 (این تجهیز همچنان در حالت Retirement به صورت محدود پیشتیبانی می‌شود)

          - به‌روزرسانی سریع به 10.2.0.7-34 یا 9.0.0.10

          - ریست کردن رمزهای عبور

          - فعال نمودن احراز هویت چند عاملی (MFA)
برای اطلاعات بیشتر به صفحه هشدار منتشر شده توسط Sonicwall به آدرس زیر مراجعه کنید:

https://www.sonicwall.com/support/product-notification/urgent-security-notice-critical-risk-to-unpatched-end-of-life-sra-sma-8-x-remote-access-devices/210713105333210/

#‫مایکروسافت در به‌روزرسانی‌هایی ماه جولای برای 117 مورد #‫آسیب‌پذیری در محصولات خود وصله امنیتی منتشر کرده است؛ از جمله 13 آسیب‌پذیری بحرانی و 9 آسیب‌پذیری روز صفرم. توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام شود. امکان دریافت به‌روزرسانی برای کاربران ویندوز با استفاده از بخش windows update در مسیر زیر فراهم است:

Start > Settings > Update & Security > Windows Update

محصولات تحت تاثیر این آسیب‌پذیری‌ها شامل موارد زیر هستند:

• Common Internet File System
• Dynamics Business Central Control
• Microsoft Bing
• Microsoft Dynamics
• Microsoft Exchange Server
• Microsoft Graphics Component
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft Scripting Engine
• Microsoft Windows Codecs Library
• Microsoft Windows DNS
• Microsoft Windows Media Foundation
• OpenEnclave
• Power BI
• Role: DNS Server
• Role: Hyper-V
• Visual Studio Code
• Visual Studio Code - .NET Runtime
• Visual Studio Code - Maven for Java Extension
• Windows Active Directory
• Windows Address Book
• Windows AF_UNIX Socket Provider
• Windows AppContainer
• Windows AppX Deployment Extensions
• Windows Authenticode
• Windows Cloud Files Mini Filter Driver
• Windows Console Driver
• Windows Defender
• Windows Desktop Bridge
• Windows Event Tracing
• Windows File History Service
• Windows Hello
• Windows HTML Platform
• Windows Installer
• Windows Kernel
• Windows Key Distribution Center
• Windows Local Security Authority Subsystem Service
• Windows MSHTML Platform
• Windows Partition Management Driver
• Windows PFX Encryption
• Windows Print Spooler Components
• Windows Projected File System
• Windows Remote Access Connection Manager
• Windows Remote Assistance
• Windows Secure Kernel Mode
• Windows Security Account Manager
• Windows Shell
• Windows SMB
• Windows Storage Spaces Controller
• Windows TCP/IP
• Windows Win32K

جزییات آسیب‌پذیری‌ها:

چهار مورد از آسیب‌پذیری‌های روزصفرمی که تحت بهره‌برداری فعال قرار داشته‌اند، عبارتند از:

• CVE-2021-33771: آسیب‌پذیری ارتقاء امتیازات در هسته ویندوز
• CVE-2021-34448: آسیب‌پذیری خرابی حافظه در موتور Scripting
• CVE-2021-31979: آسیب‌پذیری ارتقاء امتیازات در هسته ویندوز
• CVE-2021-34527: آسیب‌پذیری اجرای کد از راه دور در سرویس Print Spooler ویندوز (PrintNightmare).

همچنین پنج مورد آسیب‌پذیری روزصفرم که بهره‌برداری فعال از آنها مشاهده نشده است عبارتند از:

• CVE-2021-34492: آسیب‌پذیری جعل گواهینامه ویندوز
• CVE-2021-34523: آسیب‌پذیری ارتقای امتیاز در سرور Exchange
• CVE-2021-34473: آسیب‌پذیری اجرای کد از راه دور در سرور Exchange
• CVE-2021-33779: آسیب‌پذیری بی‌اثر کردن سازوکار امنیتی ADFS ویندوز
• CVE-2021-33781: آسیب‌پذیری بی‌اثر کردن سازوکار امنیتی در Active Directory

برخی آسیب‌پذیری‌هایی که مایکروسافت آنها را ‌ بحرانی دانسته، در جدول زیر آورده شده است.

جهت اطلاع از سایر محصولات آسیب‌پذیر و جزییات فنی این آسیب‌پذیری‌ها به پیوند زیر مراجعه نمایید:

https://msrc.microsoft.com/update-guide/releaseNote/2021-Jul
https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2021-patch-tuesday-fixes-9-zero-days-117-flaws/

شرکتSolarWinds برای یک #‫آسیب‌پذیری روز صفرم موجود در دو محصول Serv-U خود وصله‌ی امنیتی منتشر کرده است. به گفته‌ی این شرکت در حال حاضر یک گروه تهدید در حال بهره‌برداری فعال از آسیب‌پذیری مذکور می‌باشد. لازم به ذکر است که اگر اتصال مبتنی برSSH در دو محصول مذکور فعال نباشد، تحت تاثیر این آسیب‌پذیری نخواهند بود.

در صورت بهره‌برداری موفق از این آسیب‌پذیری، مهاجم قادر است به اجرای کد از راه دور بر روی سیستم آسیب‌پذیر بپردازد؛ پس از آن مهاجم قادر است به نصب برنامه، مشاهده، تغییر، حذف اطلاعات و یا اجرای برنامه‌های نصب شده بر روی سیستم آسیب‌پذیر بپردازد؛ با توجه به مخاطرات ناشی از بهره‌برداری از این آسیب‌پذیری توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر آورده شده در جدول بالا اقدام کنید. اعمال وصله‌ها (نسخه‌ی 15.2.3 hotfix (HF) 2)، به‌طور کامل آسیب‌پذیری را رفع می‌کند. در صورت عدم امکان نصب وصله‌ی امنیتی نسبت به غیرفعال کردن سرویس SSH در محیط Serv-U اقدام نمایید.

منبع: https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211

کنترل دسترسی به پیکربندی سرویس‌های سرور HP و بازبینی دوره‌ای سطح دسترسی‌های سطح ادمین اکتیودایرکتوری و مرور لاگهای دسترسی به ILO سرورها می‌تواند نقش بسزایی در تشخیص و جلوگیری از حملات اخیر داشته باشد. جهت مطالعه بیشتر به اینجا مراجعه نمایید.