در پی انتشار نسخه اول ضدبدافزار بومی بیت بان برای سیستم عامل اندروید، این شرکت به سفارش مرکز ماهر، به بررسی تشخیص یا عدم تشخیص پنج بدافزار شایع در تلفن‌های همراه در کشور پرداخته است. نتیجه این بررسی در گزارش نشان می‌دهد که استفاده از این ضدبدافزار باعث شناسایی چنین بدافزارهایی در تلفن‌های همراه خواهد شد. همچنین یادآور می‌شود بررسی مرکز ماهر نشان می‌دهد که در حال حاضر بیش از صدهزار تلفن همراه در کشور آلوده به یکی از این بدافزارهای هستند. نمونه فایل‌های بدافزارهای بررسی شده از اینجا قابل دانلود است.

شرکت ‫سیسکو در چهارم فروردین ماه سال جاری به‌روزرسانی‌هایی برای برخی محصولات خود منتشر کرد که در این بین یک ‫آسیب‌پذیری بحرانی با شدت 9.9 از 10 در نرم‌افزار Cisco Jabber در ویندوز وجود دارد که امکان اجرای برنامه دلخواه از راه دور را برای مهاجم احراز هویت شده فراهم می‌کند. سیسکو راهکار موقتی برای کاهش مخاطرات این آسیب‌پذیری ارائه نکرده است لذا توصیه می‌شود در اسرع وقت نسبت به اعمال وصله‌های منتشر شده اقدام نمایید. نسخه‌های وصله شده این محصول شامل 12.1.5، 12.5.4، 12.6.5، 12.7.4، 12.8.5 و 12.9.5 می‌باشند. دو آسیب‌پذیری دیگر با شدت بالا نیز نرم‌افزارCisco IOS XE را تحت تاثیر قرار می‌دهد. یک مهاجم احراز هویت نشده قادر است با بهره‌برداری موفقیت‌آمیز از این دو آسیب‌پذیری منجر به ایجاد شرایط منع سرویس (DoS) و اجرای کد دلخواه از راه دور با سطح دسترسی root شود (CVE-2021-1451 و CVE-2021-1446). سیسکو برای این دو آسیب‌پذیری راهکارهای کاهشی ارائه کرده است:
- راهکارهای کاهش مخاطرات CVE-2021-1451:

• غیرفعال کردن Application TLVs در پروتکل Discovery سیسکو که به صورت پیش‌فرض در سوییچ‌های آسیب‌پذیر فعال است. برای غیرفعالسازی از دستور no cdp tlv app در بخش پیکربندی CLI استفاده نمایید. پیش از غیرفعال‌سازی برای حصول اطمینان از مورد استفاده نبودن این ویژگی در دستگاه از دستور show cdp tlv app استفاده کنید اگر خروجی دریافت کردید، غیرفعالسازی این ویژگی به صورت global پیشنهاد نمی‌شود.
• در صورت عدم استفاده از پروتکل Discovery سیسکو می‌توانید با استفاده از دستور no cdp run در بخش پیکربندی CLI نسبت به غیرفعالسازی آن به صورت global در دستگاه اقدام کنید.
• محدودسازی ترافیک ورودی به پورت 5500 UDP با ایجاد یک فهرست کنترل دسترسی (ACL).

- راهکارهای کاهش مخاطرات CVE-2021-1446:

• غیرفعالسازی NAT ALG برای پکت‌های DNS. با توجه به اینکه این غیرفعالسازی ممکن است روند عادی شبکه را مختل کند لذا مدیران شبکه باید پیش از غیرفعالسازی اطمینان حاصل کنند که در محیط شبکه خود برای پکت‌های DNS نیازی به NAT ALG ندارند. برای غیرفعالسازی از دستورات no ip nat service dns tcp و no ip nat service dns udp در بخش پیکربندی CLI استفاده نمایید.

راهکار موقت یا جایگزینی برای کاهش مخاطرات سایر آسیب‌پذیری‌ها ارائه نشده است لذا توصیه می‌شود در اسرع وقت نسبت به اعمال وصله‌های منتشر شده اقدام نمایید. در جدول زیر جزییات بیشتری در خصوص آسیب‌پذیری‌های وصله شده آورده شده است.

منبع:

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities

شرکت F5 برای چند ‫آسیب‌پذیری بحرانی موجود در محصولات BIG-IP به‌روزرسانی‌هایی را منتشر کرده است؛ لذا توصیه می‌شود هرچه سریع‌تر به نصب نسخه‌هایی که آسیب‌پذیری‌های مذکور در آنها برطرف شده است اقدام شود. این آسیب‌پذیری‌های بحرانی در نسخه‌های 11.6.5.3، 12.1.5.3، 13.1.3.6، 14.1.4، 15.1.2.1 و 16.0.1.1 محصول BIG-IP و در نسخه‌های 8.0.0، 7.1.0.3 و 7.0.0.2 محصول BIG-IQ برطرف شده است.
راهکارهای موقت کاهش مخاطرات ناشی بهره‌برداری از این آسیب‌پذیری‌های بحرانی برای هر آسیب‌پذیری (در صورت وجود) به شرح زیر است:

• آسیب‌پذیری CVE-2021-22992: برای کاهش مخاطرات بهره‌برداری از این آسیب‌پذیری می‌توانید از iRule ارائه شده توسط F5 در پیوند زیر برای سرورهای مجازی آسیب‌پذیر، استفاده کنید. این iRule پاسخ دریافتی از سرور را بررسی کرده و برای پاسخ‌های آسیب‌پذیر خطای 502 برمی‌گرداند.

https://support.f5.com/csp/article/K52510511

• آسیب‌پذیری CVE-2021-22987: از آنجایی که بهره‌برداری از این آسیب‌پذیری فقط توسط کاربران احراز هویت شده و مجاز امکان‌پذیر است، به جز قطع دسترسی کاربران غیر قابل اعتماد به برنامه‌ی پیکربندی، هیچ راهکار موقت مطمئنی برای کاهش مخاطرات این آسیب‌پذیری وجود ندارد. اطلاعات بیشتر در پیوند زیر موجود است:

https://support.f5.com/csp/article/K18132488

• آسیب‌پذیری CVE-2021-22986: محدودسازی iControl REST به شبکه‌ها و تجهیزات قابل اعتماد. اطلاعات بیشتر در خصوص نحوه‌ی مسدود کردن دسترسی به iControl REST در پیوند زیر موجود است:

https://support.f5.com/csp/article/K03009991

برای اطلاع از جزییات سایر راهکارهای موقت کاهشی این آسیب‌پذیری مانند تغییر پیکربندی صفحه ورود، حذف صفحات ورود و امن‌سازی وب‌سرور و شبکه به پیوند فوق مراجعه کنید.

جزییات آسیب‌پذیری‌ها

مهم‌ترین آسیب‌پذیری‌های این به‌روزرسانی، آسیب‌پذیری‌های بحرانی CVE-2021-22987 و CVE-2021-22986 با شدت 9.9 و 9.8 است. آسیب‌پذیری CVE-2021-22986 برای مهاجم احراز هویت نشده که از طریق شبکه به رابط iControl REST دسترسی دارد، امکان اجرای دستورات دلخواه سیستمی، ایجاد یا حذف فایل‌ها و غیرفعالسازی سرویس‌ها را فراهم می‌کند. سیستم‌های BIG-IP در حالت Appliance نیز آسیب‌پذیر هستند.
در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مهم این به‌ر‌روزرسانی آورده شده است.
 

منبع:

https://support.f5.com/csp/article/K02566623

شرکت ‫مایکروسافت در به‌روزرسانی ماه مارس خود، به‌روزرسانی‌هایی را برای 7 ‫آسیب‌پذیری موجود در سرور DNS خود منتشر کرد؛ لذا توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سیستم‌های آسیب‌پذیر اقدام شود. با استفاده از بخش windows update در ویندوز، آسیب‌پذیری‌های ویندوز به صورت خودکار به‌روزرسانی می‌شود.
جهت اعمال به‌روزرسانی‌ها به صورت دستی، می‌توان از جدول موجود در لینک زیر کلیه به‌روزرسانی‌های منتشر شده را به طور مجزا بارگیری و سپس نصب نمود:

https://msrc.microsoft.com/update-guide/vulnerability

این آسیب‌پذیری‌ها محصولات زیر را تحت تاثیر خود قرار می‌دهند:

• Windows Server 2016
• Windows Server 2019
• Windows Server 2012 (R2)
• Windows Server 2008 (R2, R2 SP1 and R2 SP2)
• Windows Server, version 2004
• Windows Server, version 1909
• Windows Server, version 20H2

جهت محدود سازی اثرات حمله و کاهش بهره‌برداری از این آسیب‌پذیری‌ها اقدامات زیر توصیه می‌گردد:

• غیرفعال‌سازی ویژگی Dynamic Update
• فعال‌سازی Secure Zone Updates: فعال کردن این ویژگی، سیستم آسیب‌پذیر را در برابر حملات مربوط به شبکه (domain-joined computer) محافظت نمی‌کند.

جزییات آسیب‌پذیری‌ها
5 مورد از این آسیب‌پذیری‌ها، آسیب‌پذیری اجرای کد از راه دور (RCE) با شدت 9.8 و دو مورد از آن‌ها انکار سرویس (DoS) هستند. با توجه به شدت این آسیب‌پذیری‌ها، مهاجم می‌تواند از راه دور یک سرور DNS را بدون نیاز به احرازهویت یا تعامل کاربری تحت کنترل خود گیرد. بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها (CVE-2021-26897، CVE-2021-26877، CVE-2021-26893، CVE-2021-26894، CVE-2021-26895) منجر به اجرای کد از راه دور در یک سرور DNS معتبر خواهد شد. همچنین بهره‌برداری از آسیب‌پذیری‌های CVE-2021-26896 و CVE-2021-27063، منجر به حملات انکار سرویس خواهد شد. جهت بهره‌برداری از این آسیب‌پذیری‌ها، سرور باید role مربوط به DNS و Dynamic Update را فعال کرده باشد. (پیکربندی پیش‌فرض)
در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مورد بحث آورده شده است.

منابع:

https://t.co/rPXynT142f?amp=1
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/seven-windows-wonders-critical-vulnerabilities…
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-27063
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26896
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26895
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26894
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26893
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26897
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26877

در تاریخ 16 اسفند ماه سال جاری هشداری در خصوص چند ‫آسیب‌پذیری روز صفرم در Microsoft Exchange برای نسخه‌های 2013، 2016 و 2019 در پورتال مرکز ماهر https://cert.ir/news/entry/13189 منتشر شد. بهره‌برداری از این آسیب‌پذیری‌ مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیل‌ها و گسترده کردن دامنه نفوذ در سطح شبکه می‌کند. پس از انجام به‌روزرسانی و اعمال وصله‌ها این نگرانی از طرف مدیران شبکه و امنیت سازمان‌ها وجود داشت که قبل از اعمال این وصله‌ها آیا نفوذ و بهره‌برداری از این آسیب‌پذیری‌ها بر روی سرور Microsoft Exchange خود صورت گرفته است و یا مهاجمین پس از نفوذ و بهره‌برداری، برای دسترسی‌های بعدی خود، دربِ‎پشتی در سرور ایجاد کرده‌اند. به منظور پاسخگویی به این سوالات، گزارشی توسط آپای تخصصی دانشگاه کردستان تهیه شده است که در آن روش‌های مختلفی برای پویش سرور، رفع آسیب‌پذیری‌ها و دسترسی‌های احتمالی و کاهش مخاطرات آن‌ها مورد بررسی قرار گرفته است. جهت مطالعه بیشتر در این خصوص اینجا کلیک نمایید.

شرکت ‫سیسکو برای 12 ‫آسیب‌پذیری موجود در محصولات خود به‌روزرسانی‌هایی را منتشر کرده است که در این بین یک آسیب‌پذیری با شدت بالا و شناسه CVE-2021-1361 امکان ایجاد شرایط منع سرویس (DoS) را برای یک مهاجم احراز هویت نشده فراهم می‌کند. توصیه می‌شود در اسرع وقت نسبت به اعمال وصله‌های منتشر شده اقدام نمایید.
در جدول زیر جزییات بیشتری در خصوص آسیب‌پذیری‌های وصله شده و محصولات آسیب‌پذیر آورده شده است:
 

منبع:

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&last_published=2021%20Ma…

شرکت ‫مایکروسافت برای چهار زنجیره‌‌ی ‫آسیب‌پذیری روزصفرم موجود در سرور Exchange نسخه‌های 2013، 2016 و 2019 که به طور فعال در حال بهره‌برداری است، به‌روزرسانی‌هایی را منتشر کرده است؛ لذا توصیه می‌شود هرچه سریع‌تر جهت به‌روزرسانی سیستم‌های آسیب‌پذیر اقدام شود. با استفاده از بخش windows update در ویندوز، آسیب‌پذیری‌های ویندوز به صورت خودکار به‌روزرسانی می‌شود. جهت اعمال به‌روزرسانی‌ها به صورت دستی، می‌توان از جدول موجود در لینک زیر کلیه به‌روزرسانی‌های منتشر شده را به طور مجزا بارگیری و سپس نصب نمود:

https://msrc.microsoft.com/update-guide/vulnerability

از آنجایی که برای شروع حمله، مهاجم نیاز به برقراری یک اتصال غیرقابل اعتماد با پورت 443 سرور Exchange دارد، درصورتیکه امکان وصله کردن سیستم‌های آسیب‌پذیر وجود نداشته باشد، پیشنهاد می‌شود پورت ۴۴۳ برای سیستم‌های آسیب‌پذیر مسدود شود یا با استفاده از VPN، سرور Exchange را ایزوله کرده و دسترسی خارج از شبکه به این پورت محدود شود تا از خطرات ناشی از بهره‌برداری از اولین آسیب‌پذیری این زنجیره، کاسته شود.
استفاده از روش کاهشی فوق تنها حمله اولیه را کاهش می‌دهد. اگر مهاجمی از قبل به سیستم قربانی دسترسی داشته باشد یا بتواند یک مدیر سیستم را فریب دهد تا یک فایل مخرب را بازگشایی کند، قسمت‌های دیگر زنجیره حمله همچنان فعال خواهند بود.

جزییات آسیب‌پذیری‌ها
مهاجم تنها با دانستن اینکه سرور هدف در حال اجرای Exchange است و بدون نیاز به احراز هویت، با بهره‌برداری از آسیب‌پذیری با شناسه CVE-2021-26855 که اولین آسیب‌پذیری در زنجیره است، قادر است ایمیل‌ها و اطلاعات حساس را سرقت کند؛ در ادامه با بهره‌برداری از سه آسیب‌پذیری با شناسه‌های CVE-2021-26857، CVE-2021-26858 و CVE-2021-27065 امکان اجرای کد از راه دور بر روی سیستم آسیب‌پذیر برای مهاجم فراهم می‌شود. همان‌طور که گفته شد این آسیب‌پذیری‌ها تحت بهره‌برداری فعال قرار داشته و در حملات محدود و هدفمند توسط گروه APT چینی به نام HAFNIUM برای سرقت ایمیل‌ها و نفوذ به شبکه سازمان مورد استفاده قرار گرفته است.

علاوه بر چهار آسیب‌پذیری روز صفرم، مایکروسافت در این به‌روزرسانی دو آسیب‌پذیری دیگر با شدت 9.1 را نیز وصله کرده است که بهره‌برداری از آن منجر به اجرای کد از راه دور توسط مهاجم می‌شود. در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مورد بحث آورده شده است.

منابع:

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange…

‫آسیب‌پذیری نوع RCE با شناسه CVE-2021-3129 و شدت خطرCVSS9.8 به مهاجم بدون احراز هویت این امکان را می‌دهد تا کد دلخواه خود را از راه دور اجرا نماید. این نقص بحرانی از نسخه های قدیمی تر 2.5.2 Ignition نشات می گیرد که یک Error page برای فریمورک Laravel می‌باشد و در صورت فعال بودن قابلیت Debug mode بر روی فریمورک، مهاجم می‌تواند به راحتی از آن سوء استفاده نماید. تصویر زیر نمایی از Error page آسیب پذیر در زمان فعال بودن قابلیت Debug mode را نشان می‌دهد.
 

نحوه تشخیص نسخه فریمورک مورد استفاده

• از طریق CLI

$ php artisan --version

• از طریق بررسی فایل به آدرس فایل

./vendor/laravel/framework/src/Illuminate/Foundation/Application.php

در پروژه laravel مربوطه

$ vim ./vendor/laravel/framework/src/Illuminate/Foundation/Application.php

نسخه‌های Laravel پایین تر از نسخه 8.4.2 و نسخه‌های Ignition پایین تر از نسخه 2.5.2 از نسخ آسیب‌پذیر است. آخرین وصله امنیتی به طور رسمی منتشر شده است. به مدیران مربوطه توصیه می‌شود که هرچه سریع‌تر فریمورک Laravel خود را به نسخه 8.4.3 و یا مولفه Façade Ignition خود را به نسخه بالاتر از 2.5.2 ارتقا دهند. همواره توصیه می‌شود که در حالت production قابلیت Debug mode غیرفعال باشد اما به منظور راه‌حل موقت (تا زمان نصب وصله امنیتی) اگر debug mode فعال است توصیه می‌شود که غیرفعال شود.

منبع:

https://nvd.nist.gov/vuln/detail/CVE-2021-3129

به طور کلی در کشور بیش از ۲۰۰۰ IP آدرس وجود دارد که نسبت به یک نقص امنیتی خطرناک در Client vSphere آسیب‌پذیر هستند. با توجه اینکه در حال حاضر مهاجمان در حال پویش گسترده برای یافتن سیستم‌های آسیب‌پذیر و حمله به آنها می‌باشند (در حال حاضر بهره‌برداری از این #‫آسیب‌پذیری توسط برخی باج‌افزارها مشاهده شده است) و اینکه اغلب نسخه‌های نصب شده در ایران کرک بوده و امکان وصله شدن سریع وجود ندارد؛ لذا پیشنهاد می‌شود هر پورت ۴۴۳ برای IPهای آسیب‌پذیر مسدود شود. همچنین جداسازی رابط‌های vCenter Server از محیط سازمان و قرار دادن آنها در یک VLAN جداگانه با دسترسی محدود در شبکه داخلی، نیز پیشنهاد می‌شود.
در جدول زیر آسیب‌پذیری‌های محصولات VMware و نسخه وصله شده در این به‌روزرسانی آورده شده است.
 

برای وصله کردن آسیب‌پذیری مربوط به محصول ESXi و با توجه به اینکه آسیب‌پذیری مربوط به پروتکل OpenSLP است، VMware پیشنهاد می‌کند که در صورت عدم استفاده از OpenSLP نسبت به غیرفعال کردن آن از طریق راهنمای زیر اقدام کنید (لازم به ذکر است که با این کار کلاینت‌های CIM که از پروتکل SLP برای یافتن سرورهای CIM از طریق پورت 427 استفاده می‌کنند، امکان یافتن سرورها را نخواهند داشت):

https://kb.vmware.com/s/article/76372

همان طور که پیش‌تر گفته شد شرکت VMware از وجود یک آسیب‌پذیری بحرانی از نوع اجرای کد از راه دور در پلتفرم مدیریت زیرساخت مجازی سرور vCenter خبر داده است که به مهاجمان امکان می‌دهد سیستم‌های آسیب‌پذیر را تحت کنترل خود گیرند. این آسیب‌پذیری به طور دقیق‌تر مربوط به vSphere Client (HTML5) و در افزونه‌ی vCenter Server وجود دارد. سرور vCenter به مدیران IT کمک می‌کند تا هاست‌ها و ماشین‌های مجازی شده را در محیط‌های تجاری از طریق یک کنسول واحد مدیریت کنند. این آسیب‌پذیری با شناسه CVE-2021-21972 بحرانی بوده و دارای شدت 9.8 می‌باشد. لازم به ذکر است که افزونه‌ی vCenter Server به‌طور پیش‌فرض در vRealize Operations (vROps) نصب می‌باشد.
مهاجم با دسترسی به شبکه و پورت 443 امکان بهره‌برداری از این نقض امنیتی و اجرای دستور از راه دور با مجوزهای نامحدود در سیستم‌عامل اصلی که میزبان vCenter Server است، را خواهد داشت. افزونه‌ی vCenter Server تحت تاثیر یک آسیب‌پذیری دیگر با شناسه CVE-2021-21973 نیز می‌باشد که شدت کمتری (5.3) دارد. برای مطالعه بیشتر در خصوص این آسیب‌پذیری‌ها اینجا کلیک نمایید.
منابع خبر:

https://www.vmware.com/security/advisories/VMSA-2021-0002.html
https://thehackernews.com/2021/02/critical-rce-flaw-affects-vmware.html

نسخه‌ی جدید مرورگر فایرفاکس (Mozilla Firefox 86) که در تاریخ پنجم اسفند ماه 1399 منتشر شده است با وصله شدن برخی آسیب‌پذیری‌ های امنیتی و ارائه برخی ویژگی‌های جدید جهت بهبود حریم خصوصی، همراه بوده است. به عنوان مثال در آسیب‌پذیری‌های CVE-2021-23978 و CVE-2021-23979 به دلیل وجود ایراداتی در امنیت حافظه، مهاجم امکان اجرای کد دلخواه بر روی سیستم‌هایی که از نسخه وصله نشده‌ی فایرفاکس استفاده می‌کنند را خواهد داشت.
در این بین سه آسیب‌پذیری با شدت بالا وصله شده است که به شرح زیر است: (فایرفاکس تاکنون جزییات بیشتری از آسیب‌پذیری‌های مورد بحث منتشر نکرده است).
CVE-2021-23968: این آسیب‌پذیری به نقض سیاست امنیت محتوا (CSP) مربوط می‌شود. اگر سیاست امنیت محتوا پیمایش frame را مسدود کند، آدرس کامل مقصد redirectی که در frame انجام شده، برخلاف URI اصلی frame، در گزارش تخلف ثبت می‌شود. این عملیات می‌تواند منجر به نشت اطلاعات حساسی که در این URIها وجود دارد، شود.
CVE-2021-23969: این آسیب‌پذیری به نقض پیش‌نویس سیاست امنیت محتوا W3C مربوط می‌شود که در آن، در برخی انواع redirect، فایرفاکس به اشتباه فایل منبع را به‌عنوان مقصد redirectها قرار داده است.
CVE-2021-23970: این آسیب‌پذیری ناشی از شروع به کار برخی assertionها در یک کد چندنخی WASM (WebAssembly) است.
تعداد چهار آسیب‌پذیری با شدت متوسط و سه آسیب‌پذیری با شدت پایین نیز در این نسخه جدید وصله شده است. توصیه می‌گردد در اسرع وقت به به‌روزرسانی این مرورگر اقدام نمایید.
منابع:

https://www.mozilla.org/en-US/security/advisories/mfsa2021-07
https://www.bleepingcomputer.com/news/software/firefox-86-gets-a-privacy-boost-with-total-cookie-pr…