اجرای کد از راه دور در دستگاه‌های F5 BIG-IP، دولت‌ها، ارائه دهندگان فضای ابری، ISPها، بانک‌ها و بسیاری از شرکت‌های Fortune 500 را در معرض حملات احتمالی قرار می‌دهد. F5 Networksیکی از بزرگترین شرکت‌های ارائه‌دهنده تجهیزات شبکه در سراسر جهان، این هفته یک مشاوره امنیتی را منتشر کرده است که به مشتریان خود توصیه می‌کند که یک نقص امنیتی خطرناک را که به احتمال زیاد مورد اکسپلویت قرار گرفته است، وصله نمایند. این آسیب‌پذیری، محصول BIG-IPاین شرکت را تحت تاثیر قرار می‌دهد. BIG-IPدستگاه‌های چندمنظوره شبکه هستند که می‌توانند به عنوان سیستم‌های شکل‌دهی ترافیک وب، لود بالانسرها، فایروال‌ها، دروازه‌های دسترسی (access gateways)، rate limiterها یا SSL middlewareکار کنند. BIP-IP یکی از محبوبترین محصولات شبکه است که به صورت روزانه در شبکه‌های دولتی در سراسر جهان، در شبکه‌های مربوط به ارائه‌دهندگان خدمات اینترنت، در مراکز داده محاسبات ابری و به طور گسترده در شبکه‌های سازمانی مورد استفاده قرار می‌گیرد. جهت مطالعه بیشتر اینجا کلیک نمایید.

در پی نقص بحرانی موجود در فایروال PAN-OS با شناسه "CVE-2020-2021" که به واسطه آن مهاجمان قادرند فرآیند احراز هویت را در این فایروال دور بزنند، شرکت Palo Alto اقدام به رفع این #‫آسیب‌پذیری کرده است. هنگامی که احراز هویت SAML فعال و قابلیت ‘Validate Identity Provider Certificate’ غیرفعال باشد، تأیید هویت نادرست در PAN-OS SAML، مهاجم را قادر می‌سازد تا به منابع شبکه دسترسی پیدا کند. گفتنی است که برای اکسپلویت این آسیب‌پذیری، مهاجم باید به سرور آسیب‌پذیر دسترسی داشته باشد.
 

آسیب‌پذیری مذکور دارای شدت بحرانی و CVSS 3.x base score of 10 بوده و کمپانی مربوطه اعلام کرده است که در صورت عدم استفاده از SAML در فرآیند احراز هویت و نیز غیر فعال بودن قابلیت Validate Identity Provider Certificate در SAML Identity Provider Server Profile، این آسیب‌پذیری اکسپلویت نخواهد شد. به گفته شرکت Palo Alto، در خصوصGlobalProtect Gateways, GlobalProtect Portal Clientless VPN, Prisma Access Prisma Access و Prisma Access، مهاجم غیرمجاز، با دسترسی شبکه‌ به سرورهای تحت تاثیر این آسیب‌پذیری و درصورتیکه توسط احراز هویت پیکربندی شده و سیاست‎‌های امنیتی، مجاز باشد می‌تواند به منابع محافظت شده شبکه دسترسی پیدا کند؛ همچنین این منابع می‌توانند از طریق احراز هویت SAML-based single sign-on (SSO)، از خطر این آسیب‌پذیری به دور باشند.
در حملات صورت گرفته علیه PAN-OS و رابط‌های وب Panorama، آسیب‌پذیری مذکور می‌تواند توسط یک مهاجم غیر مجاز با دسترسی شبکه به PAN-OS و رابط‌های وب Panorama، اکسپلویت شود تا مهاجم به عنوان ادمین وارد سیستم شده و اقدامات مربوطه در حوزه اختیارات ادمین را انجام دهد که در بدترین حالت این آسیب‌پذیری دارای شدت بحرانی و CVSS 3.x base score of 10 می‌باشد، اما اگر رابط‌های وب تنها به یک شبکه منحصربفرد دسترسی داشته باشند، رتبه این آسیب‌پذیری به CVSS Base Score of 9.6 کاهش خواهد یافت.
خبر خوب این است که شبکه‌های Palo Alto از حملات ناشی از اکسپلویت این آسیب‌پذیری اطلاعات موثقی دریافت و منتشر نکرده‌اند. وجود نام کاربری غیرمعمول و یا آدرس‌های IP منبع در لاگ‌ها باید به عنوان زنگ خطری مورد توجه قرار گیرد. گفتنی است این آسیب‌پذیری توسط Salman Khan از تیم Cyber Risk and Resilience ، Cameron Duck و تیم سرویس‌های Identity دانشگاه Monash گزارش شده است. به گفته یکی از محققان امنیتی، احتمالأ APTها به زودی سعی در اکسپلویت نقصِ Palo Alto Networks موجود در PAN-OS خواهند داشت.
آسیب‎پذیری مذکور بر روی PAN-OS 9.1 و نسخه‌های قبل از PAN-OS 9.1.3، PAN-OS 9.0 و نسخه‌های قبل از PAN-OS 9.0.9 و PAN-OS 8.1، نسخه‌های قبل از PAN-OS 8.1.15 و تمام نسخه‌های (PAN-OS 8.0 (EOL تأثیر می‌گذارد، گفتنی است که این آسیب‌پذیری بر روی PAN-OS 7.1 تأثیر نمی‌گذارد.
در حالت کلی مشتریان می‌توانند موارد زیر را بررسی کنند تا مشخص شود که آیا تحت تاثیر آسیب‌پذیری قرار گرفته‌اند یا خیر:

• لاگ‌های احراز هویت
• لاگ‌های User-ID
• ACC Network Activity Source/Destination Regions (Leveraging the Global Filter feature)
• Custom Reports (Monitor > Report)
• لاگ‌های GlobalProtect (در نسخه PAN-OS 9.1.0 و بالاتر)

اما با توجه به اهمیت این آسیب‌پذیری و نیز بالا بودن شدت آن، هرچه سریع‌تر نسبت به وصله دستگاه‌های تحت‌تأثیر این آسیب‌پذیری بخصوص اگر پروتکل SAML مورد استفاده قرار گرفته است، اقدام کنید.
منابع:

[1] https://securityaffairs.co/wordpress/105351/hacking/critical-flaw-firewall-pan-os.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2020-2021
[3] https://securityaffairs.co/wordpress/105388/hacking/pan-os-flaw-uscybercom.html

تعداد 19 آسیب پذیری تحت نام ripple20 توسط تیم امنیتی بنام JSOF در کتابخانه TCP/IP بنام treck کشف شده است. این کتابخانه سطح پایین معمولا در دستگاه هایی با سیستم عامل نهفته یا دستگاه های صنعتی (RTOS) مورد استفاده قرار گرفته است. آسیب پذیری های کشف شده به دلیل پتانسیل استفاده سلسله مراتبی از آن ها توسط مهاجم (chain exploitation) یک تهدید جدی برای دستگاه های آسیب پذیر تلقی میگردد. پیش از این در تاریخ 1 تیر ماه 1399 در پورتال مرکز ماهر این آسیب پذیری ها به جزئیات بیشتر اطلاع رسانی گردیده بود.
در همین مدت کوتاه از زمان انتشار این مجموعه آسیب پذیری، برخی شرکت های مطرح دنیا همچون Dell، HP، Intel، Schneider و ... اعلام داشتند که برخی محصولات آن ها در برخی از نسخه های نرم افزاری، تحت تاثیر قرار گرفته اند.
بررسی محصولات شرکت های متخلف که متاثر از این مجموعه آسیب پذیری می باشند تا کنون منجر به دستیابی به لیست محصولات تحت تاثیر از 11 برند مطرح دنیا شده است که در فایل پیوست ارائه شده است.

به تازگی ‫بات‌نت جدیدی به نام Lucifer مشاهده شده است که سیستم‌های ویندوزی را مورد هدف قرار می‌دهد. این بات نت پس از آلوده کردن سیستم، آن را توسط رباتی به یک کلاینت cryptomining تبدیل کرده و از این طریق می‌تواند حملات انکار سرویس (DDoS ) توزیع شده را آغاز کند. نویسنده بدافزار، این ربات را Satan DDoS نام‌گذاری کرده است اما محققان42 Palo Alto Network’s Unit، به آن لقب Lucifer داده‌اند. در 29ام ماه می 2020، محققانِ Unit 42 ، نوع جدیدی از بدافزار ترکیبی cryptojacking را کشف کردند که #‫آسیب‌پذیری با شناسه "CVE-2019-9081"را اکسپلویت می‌کند. بررسی‌ها نشان می‌دهد بدافزار Lucifer قادر به انجام حملات DDoS و همچنین اکسپلویت هاست‌های آسیب‌پذیر ویندوز می‌باشد.جهت مطالعه بیشتر در این خصوص اینجا کلیک کنید.

اخیراً دو گونه مختلف از بدافزارهای بات‌نت لینوکس به نام‌های بدافزار XORDDoS و بدافزار Kaiji DDoS، سرورهای Docker را در معرض خطر قرار داده‌اند. بدافزار XORDDoS جهت هدف قرار دادن میزبان‌های لینوکس در سیستم‌های ابری و Kaiji به منظور هدف قرار دادن دستگاه‌های اینترنت اشیاء (IoT) استفاده می‌شود. مهاجمان معمولاً از بات‌نت‌ها جهت انجام حملات brute-force پس از اسکن پورت‌های باز Secure Shell (SSH) و Telnet استفاده می‌کنند. سرورهای Docker از پورت 2375 استفاده می‌کنند. پورت 2375 در این سرورها باز بوده و می‌توان بدون رمزنگاری و احراز هویت به آن متصل شد. تفاوت قابل توجهی بین روش حمله این دو نوع از بدافزار وجود دارد. حمله XORDDoS با آلوده سازی سرور Docker به کلیه سیستم‌های میزبانی شده روی آن نفوذ می‌کند و Kaiji فایل‌هایی را که بدافزار پس از حمله DDoS نصب می‌کند را گسترش می‌دهد. این بدافزارها باعث تسهیل حملات DDoS، که منجر به بستن، غیرفعال کردن یا اختلال در شبکه، وبسایت یا خدمات می‌شوند، خواهند شد. این کار با استفاده از چندین سیستم برای غلبه بر سیستم هدف، تا زمانی که ترافیک برای سایر کاربران غیرقابل دسترسی شود، انجام می‌شود. جهت مطالعه بیشتر اینجا کلیک کنید

به تازگی یک آسیب‌پذیری در آنتی‌ویروس Bit Defenderمشاهده شده است که به واسطه آن، هکرها می‌توانند کدهای مخرب خود را از راه دور اجرا کنند. این آسیب‌پذیری با شناسه "CVE-2020–8102"، نسخه بروزرسانی اخیر آنتی‌ویروس Bit Defender را تحت‌تأثیر قرار داده است. علاوه براین، محققان مدعی هستند که این آسیب‌پذیری اثرات خطرناک و قدرتمندی را به دنبال دارد چراکه آنتی‌ویروسی را مورد حمله قرار داده است، که معمولا توسط کاربران مختلفی برای حفاظت از دستگاه‌های خود استفاده می‌‌شود. این آنتی­ ویروس در بین کاربران ایرانی نیز محبوبیت زیادی دارد و لازم است که کاربران این آنتی ­ویروس نسبت به آسیب ­پذیری کشف شده آگاهی کامل داشته و نسبت بروزرسانی آن اقدام نمایند. جهت مطالعه بیشتر در خصوص آسیب پذیری ذکر شده اینجا کلیک کنید.

شرکت  Cisco یکی از بزرگترین تولیدکنندگان تجهیزات نرم‌افزاری و سخت‌افزاری شبکه می‌باشد که با توجه به پیشرفت روزافزون حوزه فناوری اطلاعات و به موازات آن افزایش چشم‌گیر تهدیدات سایبری در سطح جهان و آسیب‌پذیری‌های موجود در این تجهیزات می‌تواند موجب به خطر افتادن اطلاعات کاربران شود. از این رو بخش‌های مختلف Cisco به صورت مداوم و چندین مرتبه در ماه اقدام به ارائه آسیب‌پذیری‌های کشف شده در سرویس‌ها و تجهیزات این شرکت و رفع این آسیب‌پذیری‌ها می نمایند. در این گزارش آسیب‌‎پذیری‌های با سطح بحرانی به همراه محصولاتی که دارای این آسیب‌پذیری‌ها هستند و نیز اطلاعات جامع در مورد ‫آسیب‌پذیری و نحوه رفع آن ارائه شده است. جهت مطالعه آسیب پذیری‌های کشف شده شرکت سیسکو در ماه ژوئن اینجا کلیک کنید.

آزمایشگاه تحقیقاتی JSOF مجموعه‌ای از آسیب‌پذیری‌های روز صفر را در یک کتابخانه نرم‌افزاری سطح پایین TCP/IP توسعه داده شده توسط Treck Inc، که بسیار نیز مورد استفاده قرار می‌گیرد کشف کرده است. 19 آسیب‌پذیری با نام 20Ripple، صدها میلیون دستگاه (یا بیشتر) را تحت تاثیر قرار داده است و شامل چندین ‫آسیب‌پذیری اجرای کد از راه دور می‌باشد. از جمله خطرات این آسیب‌پذیری‌ها می توان به سرقت داده‌ها از یک پرینتر، اختلال در عملکرد دستگاه‌های کنترل صنعتی، حمله انکار سرویس(DoS) و افشای اطلاعات اشاره کرد. یک مهاجم می‌تواند سال‌ها کد مخرب را در دستگاه‌های جداسازی‌شده پنهان کند. یکی از این آسیب‌پذیری‌ها می‌تواند ورود به مرزهای شبکه را از خارج فعال کند.

نرم افزار شبکه‌ای Treck IP Stack برای انواع مختلف سیستم‌ها طراحی و ساخته شده است، این نرم‌افزار شامل چندین آسیب‌پذیری است که اکثر آن‌ها به دلیل نقص‌های موجود در مدیریت حافظه می‌باشند. گستردگی کاربرد این نرم افزار در بخش های مختلف که برخی از آنها در شکل 1 اشاره شده است، نگرانی­ها را در بین فعالان امنیت سایبری بالا برده است. برای مطالعه بیشتر اینجا کلیک کنید.

اخیراً شش ‫آسیب‌پذیری که در زیر آمده در مدل DIR-865L از روترهای D-Link که برای نظارت بر شبکه‌های خانگی از هر مکانی طراحی شده‌اند، یافت شده است:

• CVE-2020-13782 (آسیب‌پذیری تزریق دستور): یک موتور backend به نام cgibin.exe رابط وب را در این روتر کنترل می‌کند؛ مهاجمان می‌توانند کد دلخواه خود را جهت اجرا با دسترسی‌های admin در این رابط اعمال کنند.
• CVE-2020-13786 (آسیب‌پذیری جعل درخواست (CSRF)): مهاجمان می‌توانند داده‌های موجود در بخش محافظت رمزعبور را توسط ضبط داده‌های شبکه جعل کنند. رابط وب حاوی صفحات مختلفی است که نسبت به این نقض امنیتی آسیب‌پذیر هستند.
• CVE-2020-13785 (مکانیسم رمزگذاری ضعیف): مهاجمان می‌توانند پس از ورود کاربر به پورتال دسترسی به وب SharePort در پورت 8181، رمزعبور کاربر را از طریق یک حمله brute force به صورت آفلاین و بر اساس اطلاعاتی که از روتر به کلاینت ارسال می‌شود مشاهده کنند.
• CVE-2020-13784: با بهره‌برداری از این آسیب‌پذیری مهاجمان می‌توانند حتی در صورت رمزنگاری session اطلاعات با استفاده از HTTPS، اطلاعات مورد نیاز حملات CSRF را استخراج کنند.
• CVE-2020-13783 (پاک کردن حافظه اطلاعات حساس): مهاجم جهت به دست آوردن رمزعبور‌های admin که در صفحه tools_admin.php ذخیره شده‌اند، نیاز به دسترسی فیزیکی به یک دستگاه دارد. سپس می‌تواند رمزعبور را از طریق منبع HTML صفحه مشاهده کند.
• CVE-2020-13787 (انتقال حافظه اطلاعات حساس): مهاجمان با سرقت و مشاهده اطلاعات می‌توانند به رمزعبور مورد استفاده برای شبکهwifi مهمان دسترسی پیدا کنند، که این مسئله با استفاده از گزینه Wired Equivalent Privacy (WEP) امکان پذیر است.

این شش آسیب‌پذیری در روترهای D-Link توسط محقق امنیتی به نام Palo Alto Networks کشف شده و می‌توانند جهت اجرای کد دلخواه، حذف اطلاعات، بارگذاری بدافزار، استخراج داده یا جعل اطلاعات و به دست آوردن اعتبار غیرمجاز کاربر استفاده شوند. جهت محافظت در برابر حملات session hijacking به کاربران توصیه می‌شود کلیه ترافیک خود را به HTTPS انتقال داده و با اعمال وصله‌های اخیراً منتشر شده برای سیستم‌عامل در وب‌سایت روترهای D-Link، به‌روز باقی بمانند. این وب سایت همچنین یک آموزش جهت تغییر منطقه زمانی روی روتر را در اختیار کاربران قرار می‌دهد تا کاربران بتوانند از خود در برابر حملات مخرب احتمالی محافظت کنند.

https://www.ehackingnews.com/2020/06/six-new-vulnerabilities-found-in-dir.html

شرکت مایکروسافت در آخرین بروزرسانی ماهانه خود (Patch Tuesday)، یک وصله‌ی امنیتی مهم را جهت رفع نقص اجرای کد از راه دور در سرور Microsoft Exchange منتشر کرده است. این ‫آسیب‌پذیری که توسط یک محقق ناشناس به این شرکت گزارش داده شد، تمام نسخه‌های پشتیبانی شده‌ی Microsoft Exchange Server را تا قبل از نسخه وصله شده، تحت تاثیر قرار می‌دهد. در ابتدا، مایکروسافت اظهار داشت که این نقص به دلیل یک آسیب‌پذیری تخریب حافظه است و می‌تواند توسط یک ایمیل ساختگی خاص و فرستاده شده به یک سرور آسیب‌پذیر Exchange، مورد بهره برداری قرار گیرد. این آسیب‌پذیری نتیجه مشکل سرور Exchange در ایجاد کلیدهای رمزنگاری منحصربفرد در زمان نصب است.
به طور خاص، این نقص در مولفه Exchange Control Panel )ECP) یافت شده است. ماهیت باگ بسیار ساده است. به جای داشتن کلیدهای تصادفی ایجاد شده بر اساس هر نصب، تمام نصب‌های سرور Exchange دارای مقادیر یکسان کلید اعتبارسنجی و کلید رمزنگاری در web.config هستند. این کلیدها به منظور تامین امنیت ViewState استفاده می‌شوند. ViewState، داده‌های سمت سرور است که وب‌اپلیکیشن‌های ASP.NET در فرمت مرتب بر روی کلاینت ذخیره می‌کنند. کلاینت، این داده‌ها را از طریق پارامتر درخواست VIEWSTATE__ به این سرور ارائه می‌دهد. شکل زیر قطعه ای از فایل web.config که حاوی کلید اعتبارسنجی می باشد را نشان می دهد.

به دلیل استفاده از کلیدهای استاتیک، یک مهاجم احراز هویت‌شده می‌تواند این سرور را به سمت داده ViewState مخرب ساختگی سوق دهد. با کمک YSoSerial.net، یک مهاجم می‌تواند کد .NET دلخواه خود را بر روی سرور در وب‌اپلیکیشن Exchange Control Panel که به صورت SYSTEM اجرا می‌شود، اجرا کند.
مایکروسافت این آسیب‌پذیری را در February 2020، با شناسه " CVE-2020-0688 " وصله کرده است. با توجه به write-up، آنها آسیب‌پذیری مذکور را با "اصلاح نحوه ایجاد کلیدها در هنگام نصب توسط Microsoft Exchange" رفع کرده‌اند. به عبارت دیگر، اکنون کلیدهای رمزنگاری در زمان نصب، تصادفی می‌شوند. مایکروسافت این مسئله را از نظر شدت در دسته Important قرار داده است، شاید به این علت که مهاجم ابتدا باید احراز هویت کند. با این حال باید توجه داشت که در یک شرکت، اکثر کاربران مجاز به احراز هویت در سرور Exchange هستند. به طور مشابه، هر کدام از مهاجمان خارجی که دستگاه یا credentials هر کاربر شرکت را به خطر بیاندازد، قادر است به سرور Exchange دست یابد. پس از تحقق این امر، مهاجم در موقعیتی قرار می‌گیرد که بنا به درخواست خود بتواند ارتباطات ایمیل شرکت را صادر و جعل کند. بر این اساس، اگر شما یک مدیر سرور Exchange هستید، باید این مورد را یک مسئله بحرانی در نظر گرفته و سریعا در جهت رفع آن اقدام نمایید.
در کشور ایران نیز استفاده از سرور Exchange محبوبیت بالایی داشته و بسیاری از سازمان ها و شرکت های دولتی و خصوصی از آن استفاده می کنند. همانطور که در گزارش ذکر شد به طور دقیق نمی توان سرورهای آسیب پذیر را پیدا کرد مگر اینکه به یک اکانت از سرور Exchange دسترسی داشته باشیم. اما مدیران و کارشناسان با بررسی تنظیمات و نسخه آپدیت شده سرور خود می توانند اطمینان حاصل کنند که آیا نسبت به این آسیب پذیری مقاوم هستند یا خیر. درصورتیکه آخرین آپدیت سرور شما مربوط به قبل از فوریه 2020 می باشد حتما نسبت به بروزرسانی سرور خود اقدام نمایید.

منبع:

https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys