پشته شبکه Treck TCP/IP به طور گسترده در بسیاری از سازمان‌ها و صنایع، به خصوص در بخش‌های مرتبط با دستگاه‌های IoT مستقر در سازمان‌ها، بخش‌های کنترل صنعت، مراقبت‌های بهداشتی و موارد دیگر مورد استفاده قرار می‌گیرد. از زمان کشف زنجیره 19 آسیب‌پذیری با نام Ripple20، سازمان‌های امنیتی به دنبال روش‌هایی برای محافظت سازمان خود در برابر این آسیب‌پذیری‌ها بوده‌اند. توسعه دهندگان در صنایع متفاوتی در تلاش‌اند تا وصله‌هایی را برای این نقض‌های امنیتی ارائه دهند. تولید این وصله‌ها به زمان زیادی نیاز دارد.

به بسیاری از این آسیب‌پذیری‌ها بر اساس عواملی از قبیل سختی بهره‌برداری، دسترسی محلی یا از راه دور و شدت تأثیر، شدت کمتری اختصاص یافت. با این حال چهار مورد از آن‌ها شدت بالایی داشته و به راحتی مورد بهره‌برداری قرار می‌گیرند. تأثیر این آسیب‌پذیری‌ها از حملات «انکار سرویس» تا بهره‌برداری «اجرای کد از راه دور از طریق اینترنت» متفاوت است. به منظور تشخیص و جلوگیری از بهره‌برداری از چهار مورد از آسیب‌پذیری‌های بحرانی Ripple20 و حملات مرتبط با آن، متخصصان امنیتی در شرکت McAfee ATR با همکاری شرکت JSOF (کاشف این آسیب‌پذیری‌ها) روش‌هایی جهت تشخیص ماشین‌های آسیب‌پذیر و ruleهای Suricata برای IDSها، طراحی کرده است. جهت مطالعه بیشتر اینجا کلیک کنید.

به اطلاع کلیه فعالان حوزه فناوری اطلاعات کشور می رساند که کد Exploit جهت بهره برداری از ‫آسیب‌پذیری روز صفرم موجود در نرم‌افزار ایجاد فروم Vbulletin به صورت عمومی منتشر شده‌است. این آسیب‌پذیری در نسخه 5.XX از این نرم‌افزار وجود دارد و مهاجمان با بهره‌برداری از آن می‌توانند از راه دور کد مخرب خود را بر روی سرور این نرم‌افزار اجرا کنند. Vbulletin برای ایجاد فروم مورد استفاده قرار گرفته و مبتنی بر PHP و پایگاه داده MySQL است.
در سپتامبر 2019 آسیب‌پذیری اجرای کد از راه دوری با شناسه CVE-2019-16759 به صورت عمومی برای Vbulletin منتشر شده بود که نسخه‌های 5.0 تا 5.4 از این محصول را تحت تاثیر قرار می‌داد. این آسیب‌پذیری به دلیل امکان اجرا از راه دور و راحتی بهره‌برداری به عنوان آسیب‌پذیری با شدت "Critical" دسته‌بندی شده است و دارای امتیاز 9.8 از 10 می‌باشد. با دور زدن وصله منتشر شده برای این آسیب‌پذیری قدیمی قابلیت اجرای کد از راه دور در این فروم‌ساز فراهم شده است.
Vbulletin به سرعت وصله‌ای را برای این محصول آسیب‌پذیر منتشر کرده است. بنابراین تمام سایت‌هایی که از نسخه‌های پایینتراین نرم‌افزار استفاده کرده‌اند، باید به نسخه 5.6.2 بروزرسانی شوند. همچنین کاربرانی که ازProduction servers استفاده می‌کنند، برای رفع این آسیب‌پذیری باید تنظیمات زیر را انجام دهند:

1. سایت را در حالت Debug mode قرار دهید.
2. وارد AdminCP شوید.
3. به بخش Styles -> Style Manager بروید.
4.  لیست تمپلیت‌های MASTER style را باز کنید.
5. به بخش Template Module بروید.
6. widget_php را انتخاب کنید.
7. دکمه Revert را کلیک کنید.
8. به این ترتیب شما تمپلیت ماژول آسیب‌پذیر را به کلی حذف خواهید کرد و ماژول PHP آسیب‌پذیر غیر قابل اجرا خواهد شد.

منبع:

https://www.bleepingcomputer.com/news/security/vbulletin-fixes-ridiculously-easy-to-exploit-zero-day-rce-bug/

محققان امنیتی ابتدا در سال 2019 در خصوص یک ‫آسیب‌پذیری که بر محصول VPN شرکت Pulse Secure تأثیر می‌گذارد هشدار دادند، این آسیب‌پذیری با شناسه "CVE-2019-11510"، شدت بحرانی و با score 10، به مهاجمان اجازه می‌دهد تا از راه دور و به صورت غیرمجاز به شبکه‌ شرکت‌ها متصل شوند، تأیید هویت چندعاملی را غیرفعال کنند و از راه دور لاگ‌ها و گذرواژه‌هایی با متن ساده، ازجمله گذرواژه‌های حساب کاربری Active Directory را مشاهده کنند؛ تا آن که در تاریخ 4 آگوست 2020 یک هکر، لیستی از آدرس IP بیش از 900 سرور Pulse Secure VPN و همچنین نام‌های کاربری و رمزهای عبوری که از الگویی ساده برای انتخاب کاراکترهای آن‌ها استفاده شده بود منتشر کرد که تحت تأثیر این آسیب‌پذیری بحرانی قرار گرفته‌اند.
کارشناسان امنیتی وبسایت ZDNet که نسخه‌ای از این لیست را با کمک شرکت اطلاعاتی KELA بدست آورده است نیز صحت این موضوع را تأیید می‌کنند. این لیست شامل IP آدرس‌ سرورهای Pulse Secure VPN ، سرور Pulse Secure VPN نسخه firmware، کلیدهای SSH هر سرور، لیستی از تمامی کاربران محلی و رمزهای عبور هش شده آن‌ها، جزئیات حساب کاربری مدیر، آخرین ورودهای VPN(شامل نام‌های کاربری و رمزهای عبوری که از الگویی ساده برای انتخاب کاراکترهای آن‌ها استفاده شده است) وکوکی‌های VPN session است.
از بین 913 آدرس IP منحصربفرد پس از بررسی‌های صورت گرفته توسط اسکنرهای Bad Packets CTI تعداد 677 مورد از این آدرس‌ها در سال گذشته ‌هنگام اکسپلوت عمومی این آسیب‌پذیری، نسبت به آن آسیب‌پذیر بوده‌اند؛ همچنین در بین لیست منتشر شده، مشخص شده است که 677 شرکت از نخستین اسکن Bad Packets در سال گذشته، هنوز وصله نشده‌اند؛ حتی اگر این شرکت‌ها سرورهایPulse Secure خود را وصله کنند، جهت جلوگیری از سوءاستفاده هکرها، باید رمزهای عبور خود را تغییر دهند. لیست مذکور در یک تالارگفتگو در بین هکرها به اشتراک گذاشته شده است تا مورد سوءاستفاده قرار گیرد. بسیاری ازاین باندها با استفاده از سرورهای Pulse Secure VPN وارد شبکه‌های سازمانی شده و از قربانیان طلب باج خواهند کرد. نکته مهم آن است که سرورهای Pulse Secure VPN معمولأ به عنوان gateway دسترسی به شبکه‌های شرکتی، مورد استفاده قرار می‌گیرند تا کارکنان آن‌ها بتوانند از طریق اینترنت و از راه دور به اپلیکیشن‌های داخلی وصل شوند.
تحلیلگری به نام Bank Security و کسی که در همان لحظات اولیه از لیست مذکور اطلاع پیدا کرد و آن را با ZDNet به اشتراک گذاشت، نظر جالبی درخصوص این لیست و محتوای آن بیان نمود؛ به گفته وی، تمامی سرورهای Secure VPN موجود در لیست، نسخه‌ای از firmware را اجرا می‌کنند که نسبت به این نقص آسیب‌پذیر هستند؛ وی معتقد است هکری که این لیست را منتشر کرده است، تمامی فضای آدرس IPv4 اینترنت را برای سرورهای Pulse Secure VPN اسکن کرده است.

برای مقابله با این آسیب‌پذیری و جلوگیری از تحت تأثیر قرار گرفتن سرورها، هر چه سریع‌تر وصله‌های امنیتی منتشر شده توسط Pulse Secure را اعمال کنید و اگر سازمان شما از Pulse Connect Secure استفاده می‌کند، در اسرع وقت نسبت به اعمال وصله امنیتی منتشر شده اقدام کنید.

منابع:

[1] https://www.zdnet.com/google-amp/article/hacker-leaks-passwords-for-900-enterprise-vpn-servers/
[2] tenable.com/blog/cve-2019-11510-critical-pulse-connect-secure-vulnerability-used-in-sodinokibi-ransomware
[3] https://www.zdnet.com/article/vpn-warning-revil-ransomware-targets-unpatched-pulse-secure-vpn-servers/

‫آسیب‌پذیری با شناسه CVE-2020-10713 تحت عنوان BootHole در بوت‌لودر GRUB2 به مهاجمان امکان بهره‌برداری موفق از این آسیب‌پذیری با دور زدن Secure Boot و سطح دسترسی بالا به صورت مخفیانه و ماندگار در سیستم‌های هدف را می دهد. قابلیت Secure Boot یک ویژگی امنیتی از Unified Extensible Firmware Interface (UEFI) است که از یک بوت‌لودر برای بارگیری اجزای حساس، وسایل جانبی و سیستم‌عامل استفاده می‌کند. این آسیب‌پذیری دارای شدت 2‏.‏8 از 10 و یک آسیب‌پذیری سرریزبافر است که در GRUB2، هنگام تجزیه‌ی فایل grub.cfg رخ می‌دهد و تمام نسخه‌های GRUB2 تحت تأثیر این آسیب‌پذیری قرار دارند.
فایل grub.cfg یک فایل متنی بوده و همانند سایر فایل‌ها یا فایل‌های اجرایی امضاء نشده است. همین امر فرصت را برای مهاجمان فراهم می‌آورد تا مکانیسم‌ hardware root of trust را بشکنند و امکان اجرای کد دلخواه را در محیط اجرایی UEFI به دست آورند، که این امر می‌تواند برای اجرای بدافزار، تغییر فرآیند بوت، وصله‌ی مستقیم هسته‌ی سیستم‌عامل و یا هر اقدام مخرب دیگری مورد سوءاستفاده قرار گیرد. جهت مطالعه بیشتر اینجا کلیک کنید.

شرکت سیسکو در تاریخ 29 جولای سال 2020، با انتشار چند بروزرسانی امنیتی، چندین ‫آسیب‌پذیری را وصله کرد؛ این آسیب‌پذیری‌ها با شناسه‌های CVE-2020-3382، CVE-2020-3375 و CVE-2020-3374 به ترتیب مربوط به دور زدن فرآیند احراز هویت، سرریز بافر و دورزدن فرآیند تخصیص منابع می‌باشند؛ علاوه بر این شرکت سیسکو در تاریخ 17 جون سال 2020 برای برخی آسیب‌پذیری‌های بحرانی مربوط به Treck IPstack، با شناسه‌های CVE-2020-11896 تا CVE-2020-11914، بروزرسانی v1.7 را منتشر کرده است. همچنین به روزرسانی‌های امنیتی دیگری جهت رفع 8 آسیب‌پذیری با شدت بالا و متوسط که بر روی چندین نسخه نرم افزار DCNM تأثیر می‌گذارند، منتشر شده است، شناسه‌ این آسیب‌پذیری‌هابه صورت ذیل است:
CVE-2020-3377, CVE-2020-3384, CVE-2020-3383, CVE-2020-3386, CVE-2020-3376, CVE-2020-3460, CVE-2020-3462, CVE-2020-3461
جهت مطالعه بیشتر اینجا کلیک نمایید.

شرکت D-Link به رفع پنج ‫آسیب‌پذیری موثر بر روی روترهای این شرکت با شدت‌های متوسط، بالا و بحرانی پرداخته است. با اکسپلویت این آسیب‌پذیری‌ها توسط مهاجمان، روترهای آسیب‎پذیر و به دنبال آن، شبکه به خطر خواهد افتاد. متأسفانه برخی از روترهای تحت تأثیر این آسیب‌پذیری‌ها، به وضعیت‌هایEOS و یا EOL رسیده و این شرکت دیگر از آن‌ها پشتیبانی نخواهد کرد و این بدان معناست که بروزرسانی‌های امنیتی را نیز دریافت نخواهند کرد. بر اساس گزارش‌های منتشر شده، روتر‌های DAP-1522 و DIR-816L که از جانب شرکت D-Link پشتیبانی نمی‌شوند، تحت تأثیر این آسیب‌پذیری‌ها قرار دارند. این دستگاه‌ها، فریمورهای نسخه v1.42 و v12.06.B09 و قبل‌تر را اجرا می‌کنند و در حال حاضر بروزرسانی‌های امنیتی منتشر شده را دریافت نخواهند کرد. برای مطالعه بیشتر اینجا کلیک کنید.

طبق گزارشات منتشر شده، يک ‫آسيب‌پذيري اجراي کد از راه دور در Microsoft Sharepoint Server وجود دارد که هنگام عدم موفقيت در شناساييِ درست و فيلتر کردن صفحات وب ASP.Net ناامن رخ مي‌دهد. این آسیب پذیری با شدت خطر CVSS 8.8 و شماره شناسه CVE-2020-1181 شناخته شده است. نفوذگر برای بهره برداری از این آسیب پذیری نیاز به دسترسی Add and Customize Pages دارد. با استفاده از یک صفحه جعلی می‌تواند در بستر امن SharePoint application pool اقدامات مخرب انجام دهد. این آسیب پذیری از نقص در یک web part به نام WikiContentWebpart نشات می گیرد. جهت مطالعه بیشتر اینجا کلیک کنید.

در تاریخ 13 ژوئیه 2020، SAP یک بروزرسانی امنیتی برای مدیریت یک ‫آسیب‌پذیری بحرانی منتشر کرد. این آسیب پذیری با شناسه CVE-2020-6287 بر رویSAP NetWeaver Application Server (AS) Java component LM Configuration Wizard تأثیر می گذارد. یک مهاجم نامعتبر می‌تواند از این آسیب پذیری از طریق پروتکل HTTP، سوء استفاده کند تا کنترل برنامه های مورد اعتماد SAP را به دست بگیرد. این آسیب پذیری به دلیل عدم تأیید هویت در یک مؤلفه وب مربوط به SAP NetWeaver AS برای جاوا، معروف شده است که اجازه چندین فعالیت ممتاز در سیستم SAP را ایجاد می کند.
یک مهاجم از راه دور و غیرمعتبر، در صورت سوء استفاده موفقیت آمیز می تواند از طریق ایجاد کاربران ممتاز و اجرای دستورات سیستم عامل دلخواه با امتیازات حساب کاربری سرویسSAP، ( adm) دسترسی نامحدود به سیستم های SAP را بدست آورد که به منزله دسترسی نامحدود به پایگاه داده SAP می باشد و قادر است فعالیت های نگهداری برنامه، مانند خاموش کردن برنامه های SAP متعهد شده را انجام دهد. محرمانه بودن، یکپارچگی و در دسترس بودن داده ها و فرآیندهای میزبانی شده توسط برنامه SAP، در معرض خطر این آسیب پذیری قرار دارند.
با توجه به اهمیت برنامه های تجاری SAP، آژانس امنیت زیرساخت ها و امنیت سایبری (CISA) به سازمان ها توصیه می‌کند تا وصله‌گذاری سیستم‌های در معرض اینترنت و سپس سیستم‌های داخلی را در اولویت قرار دهند. سازمان هایی که قادر به وصله گذاری فوری نیستند، باید با غیرفعال کردن سرویس LM Configuration Wizard، آسیب پذیری را کاهش دهند. اگر این گزینه ها در دسترس نباشند یا این اقدامات بیش از 24 ساعت به طول انجامد، CISA اکیداً توصیه می کند که فعالیت های SAP NetWeaver AS پایش شود. به دلیل انتشار وصله ها به صورت عمومی امکان سوء استفاده از سیستم های وصله نشده فراهم شده است.

سیستم های تحت تأثیر
این آسیب پذیری به طور پیش فرض در برنامه های SAP اجرا شده بر روی SAP NetWeaver AS Java 7.3 و تمامی نسخه های جدیدتر (تا SAP NetWeaver 7.5) وجود دارد. راه حل های تجاری بالقوه آسیب پذیر SAP، آسیب پذیری های مبتنی بر جاوای SAP را شامل می شوند (اما محدود به این موارد نیست)؛ مانند:
• برنامه ریزی منابع سازمانی SAP،
• مدیریت چرخه عمر محصول SAP،
• مدیریت ارتباط با مشتری SAP،
• مدیریت زنجیره تأمین SAP،
• مدیریت روابط تأمین کننده SAP،
• انبار تجاری SAP NetWeaver،
• هوش تجاری SAP،
• زیرساخت های سیار SAP NetWeaver،
• پورتال سازمانی SAP،
• تنظیم هماهنگی فرآیند / ادغام فرآیند SAP،
• مدیر راه حل SAP،
• زیرساخت توسعه SAP NetWeaver،
• زمانبندی فرآیند مرکزی SAP،
• محیط ترکیب SAP NetWeaver،
• مدیر چشم انداز SAP.

CISA کاربران و سرپرستان محصولات SAP را تشویق می کند که:

• سیستم های SAP را برای کلیه آسیب پذیری های شناخته شده، از جمله فقدان وصله های امنیتی، پیکربندی خطرناک سیستم و آسیب پذیری در کد سفارشی SAP اسکن کنند.
• وصله های امنیتی مفقود شده را بلافاصله اعمال کنند و وصله گذاری امنیتی را به عنوان بخشی از یک پروسه دوره ای نهادینه کنند
• تجزیه و تحلیل سیستم ها برای مجوزهای کاربری مخرب یا مفرط.
• نظارت بر سیستم ها برای شاخص های سازش ناشی از سوء استفاده از آسیب پذیری ها.
• نظارت بر سیستم ها برای رفتار مشکوک کاربر، از جمله کاربران ممتاز و غیر ممتاز.
• برای بهبود وضعیت امنیتی در برابر حملات هدفمند پیشرفته، هوش تهدید در مورد آسیب پذیری های جدید را اعمال کنند.
• پایه های امنیتی جامع برای سیستم ها تعیین کنند و به طور مداوم بر نقض انطباق نظارت کنند و انحرافات تشخیص داده شده را اصلاح کنند.
• این توصیه ها در سیستم های SAP در محیط های عمومی، خصوصی و ترکیبی اعمال می شوند.
• از پیکربندی ایمن چشم انداز SAP خود اطمینان حاصل کنند
• تنظیمات امنیتی رابط های SAP بین سیستم ها و برنامه ها را شناسایی و تجزیه و تحلیل کنند تا خطرات ناشی از این روابط مورد اعتماد را دریابند.

منبع:  https://us-cert.cisa.gov/ncas/alerts/aa20-195a

شرکت مایکروسافت در تاریخ July 14 سال 2020 وصله ای برای آسیب‌پذیری بحرانی در سرویس DNS ویندوزسرور منتشر کرد. این آسیب پذیری، امکان اجرای کد از راه دور (RCE) و همچنین اخذ دسترسی کامل از سرور ویندوز دارای سرویس DNS آلوده را برای مهاجم فراهم می کند. احتمال استفاده از این حفره امنیتی توسط بات نت ها و باج افزار هایی که از متد worm برای انتشار استفاده میکنند بسیار بالا می باشد. این آسیب پذیری با شدت ۱۰ از ۱۰ (CVSS Score) و با شناسه CVE-2020-1350 معرفی شده است و تمامی نسخه های ویندوز از ویندوز 2008 تا 2019 در برابر آن آسیب پذیرند.
مهاجم با استفاده از ایجاد و ارسال درخواست های آلوده به سمت DNS Server میتواند حمله RCEرا به اجرا گذاشته و دسترسی کاملی به سرور اخذ کند. درصورتی که سرور نقش domain controller را در active directory داشته باشد، مهاجم می تواند دسترسی کاملی به کل فضای domain اخذ کرده و تمامی دارایی های موجود در این فضا را در اختیار گیرد.
*اجرای وصله و ایمن سازی را به هیچ وجه به تاخیر نیاندازید و این فرآیند را محدود به سرور هایی که صرفا در فضای اینترنت در دسترس هستند نکنید.
رفع آسیب پذیری:

۱- نصب آخرین آپدیت های ارائه شده روی ویندوز سرور
۲- انجام تغییرات زیر در رجیستری

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

3- Restart نمودن سرویس DNS
لینک های مفید:

[1]https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
[2]https://support.microsoft.com/help/4569509

شرکت مایکروسافت دو به‌روزرسانی امنیتی را جهت وصله دو آسیب‌پذیری موجود در کتابخانه codecs ویندوز منتشر کرد. ‫آسیب‌پذیری‌ های مذکور با شناسه CVE-2020-1425 و CVE-2020-1457 بر کتابخانه codecs ویندوز در توزیع‌های ویندوز 10 و ویندوز سرور 2019 اثر می‌گذارند. شرکت مایکروسافت همچنین اظهار داشت که از این دو نقض امنیتی می‌توان توسط یک فایل تصویری دست‌کاری شده خاص بهره‌برداری کرد. اگر این تصاویر در برنامه‌هایی باز شود که از کتابخانه codecsویندوز، برای مدیریت محتوای چندرسانه‌ای استفاده می‌کند‌، مهاجم می‌تواند کد مخرب خود را روی سیستم ویندوز اجرا کرده و کنترل کاملی بر آن به دست آورد.جهت مطالعه بیشتر اینجا کلیک کنید.