چهار آسیب پذیری امنیتی یافت شده در نرم افزار ScrutisWeb، دستگاه های خودپرداز را در معرض هک از راه دور قرار می دهد.این آسیب پذیری ها می توانند برای نفوذ از راه دور به دستگاه های خودپرداز، آپلود فایل های دلخواه و حتی راه اندازی مجدد پایانه ها مورد سوء استفاده قرار گیرند. آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده  (CISA) گفت: «استفاده موفقیت آمیز از این آسیب پذیری ها می تواند به مهاجم اجازه آپلود و اجرای فایل های دلخواه را بدهد». ScrutisWeb یک راه حل مبتنی بر مرورگر وب برای نظارت بر خودپرداز بانکی، از جمله جمع آوری وضعیت سیستم اطلاعات، تشخیص هشدارهای کم بودن کاغذ، خاموش کردن یا راه اندازی مجدد پایانه، و تغییر داده ها از راه دور است.

جزئیات چهار آسیب پذیری به شرح زیر است:

• CVE-2023-33871  (امتیاز  CVSS: 7.5): یک آسیب‌پذیری پیمایش دایرکتوری که می‌تواند به کاربر احراز هویت نشده اجازه دهد مستقیماً به هر فایل خارج از وب‌روت سرور دسترسی داشته باشد.
• CVE-2023-35189 (امتیاز CVSS: 10.0): یک آسیب‌پذیری اجرای کد از راه دور که می‌تواند به کاربر احراز هویت نشده اجازه آپلود یک بار مخرب و اجرای آن را بدهد.
• CVE-2023-35763 (امتیاز CVSS: 5.5) : یک آسیب‌پذیری رمزنگاری که می‌تواند به کاربر احراز هویت نشده اجازه دهد رمزهای عبور رمزگذاری‌شده را در متن ساده رمزگشایی کند.
• CVE-2023-38257 (امتیاز CVSS: 7.5): یک آسیب‌پذیری مرجع مستقیم شی ناامن که می‌تواند به کاربر احراز هویت نشده اجازه دهد اطلاعات نمایه، از جمله نام‌های ورود کاربر و رمزهای عبور رمزگذاری‌شده را مشاهده کند.
•   CVE-2023-35189 شدیدترین آسیب‌پذیری است، زیرا به کاربری که احراز هویت نشده است این امکان را می‌دهد هر فایلی را آپلود کند و سپس دوباره آن را از یک مرورگر وب مشاهده کند در نتیجه دستور injection انجام شود.

در یک سناریوی حمله فرضی، یک حریف می‌تواند CVE-2023-38257 و CVE-2023-35763 را برای ورود به کنسول مدیریتی ScrutisWeb به‌عنوان مدیر، مجهز کند. این کنسول همچنین اجازه می‌دهد تا دستگاه‌های خودپرداز را به حالت مدیریت رها کند، فایل‌ها را در آنها آپلود کند، آنها را راه‌اندازی مجدد کند و آنها را به طور کامل خاموش کند."

علاوه بر این، CVE-2023-35189 می تواند برای حذف فایل های گزارش در ScrutisWeb برای پوشاندن مسیرها استفاده شود. 

 این نرم‌افزار نقش یک "Remote Access Trojan" یا "RAT" را دارا می‌باشد که به وسیله عامل تهدید خودش از طریق پلتفرم‌های تلگرام و دیسکورد برای فروش عرضه می‌شود. بعد از نصب بر روی سیستم‌های ویندوز قربانی، این نرم‌افزار مخرب به صورت پنهانی اطلاعات حساس را جمع‌آوری می‌کند و سپس این اطلاعات را به ربات تلگرامی عامل تهدید ارسال می‌کند. این کار به عامل تهدید دسترسی غیرمجاز به اطلاعات حساس قربانی را فراهم می‌کند.
شرکت امنیت سایبری Uptycs که این نرم‌افزار مخرب را در اواخر ماه گذشته کشف کرده است، گفته است که این نرم‌افزار به دقت طراحی شده است تا تاریخچه مرورگر وب، نشان‌ها (bookmarks)، کوکی‌ها، اطلاعات کارت اعتباری، کلیدهای فشرده شده (keystrokes)، تصاویر صفحه نمایش، فایل‌های با پسوندهای خاص، و اطلاعات از برنامه‌هایی مانند Steam و Telegram را جمع‌آوری کند. این ابزار با قیمت ۱۵۰ روبل برای دسترسی هفتگی و ۵۰۰ روبل برای مجوز دائمی ارائه می‌شود و همچنین نسخه‌ی محدود و رایگانی نیز دارد.

QwixxRAT  یک نرم‌افزار دودویی مبتنی بر زبان برنامه‌نویسی C# است که با ویژگی‌های مختلف ضد-تجزیه و تحلیل ارائه می‌شود تا به صورت پنهانی عمل کرده و از تشخیص جلوگیری کند. این شامل یک تابع Sleep برای ایجاد تأخیر در فرآیند اجرا و همچنین چک‌های اجرا برای تشخیص اینکه آیا در یک محیط شناور یا مجازی عمل می‌کند، است.
توابع دیگر به آن اجازه می‌دهد که برای لیستی خاص از پردازه‌ها (مانند "taskmgr"، "processhacker"، "netstat"، "netmon"، "tcpview" و( "wireshark"  نظارت داشته باشد و در صورت شناسایی، فعالیت خود را تا زمانی که فرآیند خاتمه یابد متوقف کند.
 

همچنین در QwixxRAT یک ابزار clipper نیز وجود دارد که به صورت پنهانی به اطلاعات حساسی که در کلیپ‌بورد دستگاه کپی شده است دسترسی می‌یابد. هدف از این کار انجام انتقالات غیرقانونی از کیف‌پول‌های رمزارزی می‌باشد.
دستیابی به کنترل و کنترل دستوراتCommand-and-control یا (C2) از طریق یک ربات تلگرام انجام می‌شود. از طریق این ربات تلگرام دستورات ارسال می‌شوند تا عملیات جمع‌آوری اطلاعات اضافی نظیر ضبط صدا و وب‌کم و حتی خاموش یا راه‌اندازی مجدد دستگاه آلوده انجام شود. 
فاش شدن این اطلاعات در هفته‌های پس از آنکه شرکت سایبراینت (Cyberint) جزئیات دو نسخه دیگر از نرم‌افزارهای RAT  به نام‌های RevolutionRAT و Venom Control RAT را اعلام کرد. این دو نسخه نیز در کانال‌های مختلف تلگرام با ویژگی‌های جمع‌آوری و انتقال داده و اتصال به مرکز کنترل و کنترل (C2) تبلیغ می‌شوند.
همچنین، این اطلاعات بعد از کشف یک کمپین جاری اعلام شده است که از سایت‌های تخریب شده به عنوان پلتفرم‌های در معرض خطر استفاده می‌کند تا با استفاده از کد جاوا اسکریپت مخرب یک به‌روزرسانی جعلی مرورگر Chrome ارائه دهد. هدف از این عملیات ترغیب قربانیان به نصب ابزار نرم‌افزاری مدیریت از راه دور با نام NetSupport Manager RAT است. استفاده از یک ترفند به‌روزرسانی مرورگر تقلبی با SocGholish یا FakeUpdates هم‌راستایی دارد، اما شواهد قطعی که ارتباط مستقیم بین دو نوع فعالیت را نشان دهد، هنوز محوطه‌ای از تحقیقات است.
 Trellix اظهار می‌کند: سوءاستفاده از RATهای آماده در دسترس همچنان ادامه دارد چرا که این ابزارهای قدرتمندی هستند که قادر به تأمین نیازهای مخربان برای انجام حملات و دستیابی به اهدافشان می‌باشند. وی ادامه می‌دهد: اگرچه این RATها ممکن است به طور مداوم به‌روز نشوند، اما ابزارها و تکنیک‌ها برای ارسال این بارهای مخرب به قربانیان احتمالی به تدریج پیشرفت خواهند کرد.

مراجع

یک آسیب‌پذیری با شدت بحرانی و با شماره CVE-2023-24489 در نرم‌افزار Citrix ShareFile  کشف شده است. CISA هشدار می‌دهد که یک آسیب‌پذیری بحرانی در سرویس انتقال فایل امن Citrix ShareFile  توسط فرد یا افراد ناشناخته هدف قرار گرفته و این ضعف را به فهرست آسیب‌پذیری‌های امنیتی شناخته‌شده که در محیط‌های واقعی بهره‌برداری می‌شوند، اضافه کرده است.
Citrix ShareFile  همچنین به نام Citrix Content Collaboration نیز شناخته می‌شود، یک راه‌حل انتقال فایل مدیریت‌شده و سرویس ذخیره‌سازی ابری SaaS است که به مشتریان و کارمندان اجازه می‌دهد تا به صورت امن فایل‌ها را بارگذاری و دانلود کنند.
این سرویس همچنین یک راه‌حل 'کنترل‌کننده مناطق ذخیره‌سازی' ارائه می‌دهد که به مشتریان شرکتی این امکان را می‌دهد تا تنظیمات ذخیره‌سازی داده‌های خصوصی خود را برای میزبانی فایل‌ها (بر روی محلی یا در پلتفرم‌های ابری پشتیبانی‌شده مانند Amazon S3 و Windows Azure.) تنظیم کنند.
Citrix توضیح می‌دهد: "یک آسیب‌پذیری در کنترل‌کننده مناطق ذخیره‌سازی ShareFile مدیریت‌شده توسط مشتریان کشف شده است که در صورت بهره‌برداری می‌تواند به یک حمله‌کننده غیراحراز هویت اجازه دهد تا به صورت از راه دور به کنترل‌کننده مناطق ذخیره‌سازی ShareFile مدیریت‌شده توسط مشتریان نفوذ کند." شرکت امنیت سایبری AssetNote آسیب‌پذیری را به Citrix اعلام کرده است و در یک مقاله تکنیکی هشدار داده است که این ضعف ناشی از چندین خطای کوچک در اجرای رمزنگاری AES در ShareFile است. محققان AssetNote توضیح می‌دهند: "تحقیقات ما به ما این امکان را داد که با بهره‌برداری از یک باگ رمزنگاری به نظر نادرست، اجرای دلخواه فایل بدون احراز هویت و اجرای کد از راه دور را دستیابی کنیم." با استفاده از این آسیب‌پذیری، یک عامل تهدید می‌تواند یک وب‌شل را به دستگاه بارگذاری کند تا به کنترل کامل بر روی ذخیره‌سازی و تمامی فایل‌های آن دست یابد.
CISA  هشدار می‌دهد که عامل‌های تهدید غالباً از این نوع آسیب‌پذیری‌ها بهره می‌برند و یک خطر قابل توجه برای شرکت‌های فدرالی ایجاد می‌کنند. هرچند CISA همین هشدار را در بسیاری از راهنماها به اشتراک می‌گذارد، اما آسیب‌پذیری‌هایی که بر روی راه‌حل‌های انتقال فایل مدیریت‌شده (MFT) تأثیر می‌گذارند واقعاً مورد نگرانی است، زیرا عوامل تهدید به طور فزاینده از آنها به منظور دزدیدن داده‌ها در حملات اخاذی به شرکت‌ها استفاده می‌کنند. یک عملیات رمزنگاری به نام Clop به طور ویژه در هدف قرار دادن بهره‌برداری از این نوع آسیب‌پذیری‌ها را پیش گرفته است، و از سال 2021، زمانی که از آسیب‌پذیری روز صفر در راه‌حل Accellion FTA بهره‌برداری کرد، از آنها در حملات دزدیدن داده‌های گسترده استفاده کرده‌اند.
از آن زمان به بعد،  Clop با استفاده از آسیب‌پذیری‌های روز صفر در SolarWinds Serv-U، GoAnywhere  MFT و به تازگی‌تر حملات گسترده‌ای به سرورهای MOVEit Transfer، به چندین کمپین دزدیدن داده پرداخته است.
بهره‌برداری فعال:
به عنوان بخشی از مقاله تکنیکی AssetNote، محققان اطلاعات کافی را به اشتراک گذاشتند تا عوامل تهدیدی بتوانند برای ضعف Citrix ShareFile CVE-2023-24489 استفاده‌های خود را توسعه دهند. بلافاصله بعد از آن، محققان دیگر نسخه‌های خود از ابزارهای بهره‌برداری را در GitHub منتشر کردند.
در تاریخ 26 ژوئیه، شرکت GreyNoise شروع به مانیتورینگ تلاش‌های بهره‌برداری از آسیب‌پذیری کرد. پس از هشدار CISA در این مورد، GreyNoise  گزارش خود را به‌روزرسانی کرد و گفت که تلاش‌های بسیاری توسط آدرس‌های IP مختلف انجام شده است.
GreyNoise  با  بررسی اینکه آیا یک سرور ShareFile آسیب‌پذیر است توسط 72 آدرس IP را مشاهده کرده است، اکثریت آنها از کره جنوبی و دیگران از فنلاند، انگلیس و ایالات متحده هستند.

 تلاش برای سوء استفاده از CVE-2023-24489

اگرچه هیچ بهره‌برداری یا دزدیدن داده‌ای که به صورت عمومی شناخته‌شده با این ضعف مرتبط نشده است، اکنون CISA از نهادهای Federal Civilian Executive Branch (FCEB) می‌خواهد تا تا تاریخ 6 سپتامبر 2023 پچ‌های این خطا را اعمال کنند.
با این حال، به دلیل طبیعت بسیار هدفمند این آسیب‌پذیری‌ها، به شدت توصیه می‌شود که تمام سازمان‌ها بلافاصله بروزرسانی‌ها را اعمال کنند.

مراجع

استفاده تهدیدکنندگان از Cloudflare R2 برای میزبانی صفحات فیشینگ طی شش ماه گذشته شاهد افزایش 61 برابری بوده است. جان مایکل، محقق امنیتی Netskope، گفت: «اکثر کمپین‌های فیشینگ اعتبارنامه ورود مایکروسافت را هدف قرار می‌دهند، اگرچه برخی از صفحات هم هستند که Adobe، Dropbox و سایر برنامه‌های ابری را هدف قرار می‌دهند».

Cloudflare R2، مشابه Amazon Web Service S3، Google Cloud Storage و Azure Blob Storage، یک سرویس ذخیره‌سازی داده برای ابر است. این در حالی است که تعداد کل برنامه‌های ابری که دانلود بدافزار از آن‌ها آغاز می‌شود به 167 افزایش‌یافته است و مایکروسافت OneDrive، Squarespace، GitHub، SharePoint و Weebly در پنج رده بالاتر قرار دارند.
کمپین‌های فیشینگ شناسایی شده توسط Netskope نه تنها از Cloudflare R2 برای توزیع صفحات فیشینگ استاتیک سوءاستفاده می‌کنند، بلکه با استفاده از سرویس Turnstile این شرکت، (جایگزینی برای CAPTCHA)، چنین صفحاتی را در پشت موانع ضد ربات قرار می‌دهند تا از شناسایی فرار کنند.
با انجام این کار، از دسترسی اسکنرهای آنلاین مانند urlscan.io به سایت واقعی فیشینگ جلوگیری می‌کند، زیرا آزمایش CAPTCHA منجر به شکست می‌شود. به‌عنوان یک لایه اضافی برای فرار از شناسایی، سایت ‌های مخرب طوری طراحی شده‌اند که محتوا را تنها در صورت رعایت شرایط خاص بارگذاری کنند.
مایکل گفت: «این وب‌سایت مخرب نیاز دارد تا از طرف یک سایت مورد ارجاع قرار گیرد که در URL یک مهر زمانی برای نمایش صفحه فیشینگ واقعی داشته باشد. از سوی دیگر، سایت ارجاع دهنده نیاز دارد تا یک سایت فیشینگ را به عنوان پارامتر دریافت کند». در صورتی که هیچ پارامتر URL به سایت ارجاع دهنده ارسال نشود، بازدیدکنندگان به www.google[.]com هدایت می‌شوند. 
این اتفاقات یک ماه پس از آن صورت می‌گیرد که این شرکت امنیت سایبری جزئیات یک کمپین فیشینگ را فاش کرد که مشخص شد صفحات ورود جعلی خود را در AWS Amplify برای سرقت اطلاعات بانکی کاربران و مایکروسافت 365 به همراه جزئیات پرداخت کارت از طریق Bot API تلگرام میزبانی می‌کرد.

منبع

https://thehackernews.com/2023/08/cybercriminals-abusing-cloudflare-r2.html

یک آسیب‌پذیری با شدت بالا و با شماره CVE-2023-40477 در نرم‌افزار WinRAR کشف شده است. نرم‌افزار WinRAR، ابزار محبوب فشرده‌سازی فایل برای ویندوز که توسط میلیون‌ها نفر استفاده می‌شود، تصحیح شده است. این آسیب‌پذیری با باز کردن یک بایگانی به سادگی می‌تواند دستورهایی را در یک کامپیوتر اجرا کند.
این آسیب‌پذیری می‌تواند به حمله‌کنندگان از راه دور اجرای کد دلخواه در سیستم هدف پس از باز کردن یک فایل RAR با ترتیب خاص را فراهم کند. این آسیب‌پذیری توسط محقق "goodbyeselene" از Zero Day Initiative کشف شد که در تاریخ 8 ژوئن 2023 این ضعف را به تولید کننده، یعنی RARLAB، گزارش کرد.
به گزارش ZDI این آسیب‌پذیری به حمله‌کنندگان از راه دور امکان اجرای کد دلخواه در نصب‌های تحت تأثیر RARLAB WinRAR را می‌دهد. تعامل کاربر مورد نیاز است تا از این آسیب‌پذیری بهره‌برداری شود، به این معنی که هدف باید یک صفحه مخرب را بازدید کند یا یک فایل مخرب را باز کند. اشکال خاص در فرآیند حجم‌های بازیابی وجود دارد. این مشکل از عدم اعتبارسنجی مناسب داده‌های ارائه‌شده توسط کاربر ناشی می‌شود که می‌تواند منجر به دسترسی به حافظه فراتر از انتهای یک بافر اختصاص‌یافته شود. یک حمله‌کننده می‌تواند با بهره‌برداری از این آسیب‌پذیری، کد را در متن فرآیند فعلی اجرا کند. از آنجایی که حمله کننده  نیاز دارد قربانی را فریب دهد تا یک بایگانی را باز کند، امتیاز شدت آسیب‌پذیری به 7.8 کاهش می‌یابد. با این حال، از دیدگاه عملی، فریب کاربران به انجام اقدام مورد نیاز نباید بسیار چالش برانگیز باشد، و با توجه به ابعاد بزرگ پایگاه کاربران WinRAR، حمله‌کنندگان فرصت‌های فراوانی برای بهره‌برداری موفق دارند.
کاهش دسترسی:
RARLAB نسخه 6.23 از WinRAR را که به طور موثر از آسیب‌پذیری CVE-2023-40477  پشتیبانی می‌کند، منتشر کرد. بنابراین، به کاربران WinRAR به شدت توصیه می‌شود که فوراً به بروزرسانی امنیتی موجود اقدام کنند.
علاوه بر تصحیح کد پردازش حجم‌های بازیابی RAR4، نسخه 6.23 به یک مشکل مربوط به بایگانی‌های با ترتیب خاص که منجر به شروع نادرست فایل می‌شود، نیز پرداخته است که نیز به عنوان یک مشکل با شدت بالا در نظر گرفته می‌شود. همچنین باید توجه داشت که مایکروسافت در حال حاضر دارد پشتیبانی برای فایل‌های RAR، 7-Zip و GZ را در ویندوز 11 تست می‌کند، بنابراین نرم‌افزار‌های شخص ثالث مانند WinRAR در این نسخه دیگر لزومی ندارند مگر اینکه ویژگی‌های پیشرفته‌ای مورد نیاز باشند.
کسانی که همچنان از WinRAR استفاده می‌کنند، باید نرم‌افزار را به‌روز نگه دارند، زیرا آسیب‌پذیری‌های مشابه در گذشته توسط هکرها برای نصب نرم‌افزارهای مخرب بهره‌برداری شده‌اند.
علاوه بر این، احتیاط در مورد فایل‌های RAR که باز می‌کنید و استفاده از ابزار آنتی‌ویروسی که قادر به اسکن بایگانی‌ها باشد، تدابیر خوبی برای افزایش امنیت خواهد بود.

مراجع

https://www.zerodayinitiative.com/advisories/ZDI-23-1152/

وجود یک نقص امنیتی که به تازگی اصلاح‌شده در محصولات دات نت و ویژوال استودیو باعث شد تا مایکروسافت به کاتالوگ آسیب‌پذیری‌های مورد سوءاستفاده شناخته شده (KEV) اضافه شود. برای این منظور به شواهدی مبنی بر بهره‌برداری فعال از این آسیب پذیری استناد شده است. این نقص با شدت بالا که به‌عنوان CVE-2023-38180 ردیابی می‌شود (امتیاز CVSS: 7.5)، مربوط به یک مورد منع سرویس (DoS) است کهNET. و ویژوال استودیو را تحت تأثیر قرار می‌دهد. جزئیات دقیق مربوط به ماهیت بهره برداری این آسیب‌پذیری نامشخص است. سازنده ویندوز وجود یک اثبات مفهوم (PoC) را در توصیه‌نامه خود تصدیق کرده است. همچنین گفته است که حملاتی که از این نقص استفاده می‌کنند را می‌توان بدون هیچ‌گونه امتیاز اضافی یا تعامل کاربر انجام داد.
این شرکت گفت: «کد سوءاستفاده اثبات مفهومی در دسترس است، یا نمایش حمله برای اکثر سیستم‌ها عملی نیست. این کد یا تکنیک در همه موقعیت ها کاربردی نیست و ممکن است نیاز به اصلاح اساسی توسط یک مهاجم ماهر داشته باشد».
نسخه‌های تحت تأثیر این نرم افزار عبارتند از ASP.NET Core 2.1، .NET 6.0، .NET 7.0، Microsoft Visual Studio 2022 نسخه 17.2، Microsoft Visual Studio 2022 نسخه 17.4 و Microsoft Visual Studio 2022 نسخه 17.6. برای کاهش خطرات احتمالی، CISA به آژانس‌های شعبه اجرایی غیرنظامی فدرال(FCEB) توصیه کرده است تا 30 آگوست 2023 اصلاحات ارائه ‌شده توسط مایکروسافت را برای آسیب‌پذیری اعمال کنند.
منبع

آسیب‌پذیری بحرانی با شناسه CVE-2023-40013 و امتیاز 9.8 به مهاجم اجازه می‌دهد تا یک SVG مخرب ایجاد کند که می‌تواند منجر به اسکریپت بین سایتی (XSS) شود. 
SVG Loader  یک کتابخانه جاوا اسکریپت است که SVG ها را با استفاده از XMLHttpRequests واکشی می کند و کد SVG را در محل تگ تزریق می کند. طبق اسناد، svg-loader تمام کدهای JS را قبل از تزریق فایل SVG به دلایل امنیتی حذف می‌کند، اما منطق پاکسازی ورودی کافی نیست و می‌تواند به راحتی دور زده شود.
 کاربر مخرب می‌تواند یک SVG مخرب ایجاد کند که می تواند منجر به اسکریپت بین سایتی (XSS) شود. هنگام تلاش برای پاکسازی lib،svg  ویژگی‌های رویداد مانند  onmouseover،  onclick را حذف می‌کند. هر وب‌سایتی که از svg-loader استفاده می‌کند و به کاربران خود اجازه می‌دهد فایل‌هایsvg src، آپلود svg را ارائه دهند، در معرض حمله XSS ذخیره شده قرار خواهد گرفت.
این آسیب‌پذیری در commit 'd3562fc08' که در نسخه‌های1.6.9  گنجانده شده است، مشاهده شده است.
تا این لحظه هیچ راه‌حل شناخته ‌شده‌ای برای این آسیب‌پذیری وجود ندارد. به کاربران توصیه می‌شود که به آخرین نسخه ارتقا دهند. 
 منابع خبر

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-40013

[2] https://www.tenable.com/cve/CVE-2023-40013

یک آسیب‌پذیری RCE با عنوان CVE-2023-38408 در ویژگی  ssh-agent forwarding OpenSSH پیدا شده است. ویژگی PKCS#11 در ssh-agent در OpenSSH، دارای یک مسیر جستجوی غیر قابل اعتماد است که در صورت ارسال یک عامل به سیستم کنترل شده توسط مهاجم، منجر به اجرای کد از راه دور می شود. 
این آسیب‌پذیری به یک مهاجم با کنترل سوکت عامل ارسال شده روی سرور و توانایی نوشتن در سیستم فایل میزبان مشتری اجازه می‌دهد، تا کد خود را با دسترسی کاربری که عامل ssh را اجرا می‌کند، اجرا کند. OpenSSH یک پیاده سازی متن باز از پروتکل Secure Shell (SSH) است که مجموعه ای از خدمات را با هدف تسهیل ارتباطات رمزگذاری شده از طریق یک شبکه ناامن، در محیط سرویس گیرنده-سرور ارائه می دهد. به عنوان یک بخش حیاتی برای تعاملات شبکه ایمن، OpenSSH  برای استراتژی‌های امنیت سایبری سازمان های متعدد بسیار مهم است. 
ssh-agent با تسهیل تایید هویت کاربر از طریق مدیریت کلیدهای هویت و کلمه عبور، نقش مهمی ایفا می‌کند. ذخیره کلیدها در SSH-agent نیاز کاربران را برای وارد کردن مجدد رمز عبور یا عبارت عبور خود در هنگام ورود به سرورهای دیگر برطرف می کند و یک تجربه یکپارچه ثبت نام (SSO) را ایجاد می کند.
این آسیب‌پذیری در نسخ قبل از 9.3p2 مشاهده شده است.
اکسپلویت از راه دور، مستلزم آن است که عامل به یک سیستم کنترل شده توسط مهاجم ارسال شود. با راه‌اندازی ssh-agent(1) با یک لیست مجاز PKCS#11/FIDO خالی (ssh-agent-P) یا با پیکربندی یک لیست مجاز که فقط شامل کتابخانه‌های ارائه‌دهنده خاص است، می‌توان از اکسپلویت جلوگیری کرد. بنابراین، برای جلوگیری از آسیب‌پذیری، انتقال عامل را غیرفعال کنید یا گزینه‌های ssh-agent را محدود کنید. 
 منابع خبر

تعداد 6 آسیب‌پذیری‌ جدید روی  Microsoft Exchange Server گزارش شده است که یکی از آنها شدت بحرانی را کسب کرده است.  این آسیب پذیری‌ها به شرح زیر  است:
آسیب پذیری CVE-2023-21709 :
آسیب‌پذیری در Microsoft Exchange Server است و با شدت بحرانی و  امتیاز 9.8 را دارا است. این آسیب‌پذیری به معنای وجود یک نقطه ضعف در نرم‌افزار می‌باشد. این نقطه ضعف به هکرها اجازه می‌دهد که از سطح دسترسی کاربری معمولی به سطح دسترسی بالاتری دست یابند، که به این عمل "افزایش دسترسی" (Elevation of Privilege) گفته می‌شود

آسیب پذیری  CVE-2023-38181:
آسیب‌پذیری در Microsoft Exchange Server است و با شدت بالا و  امتیاز 8.8 را کسب کرده است. این آسیب‌پذیری به معنای وجود یک نقطه ضعف است که به حمله‌کنندگان اجازه می‌دهد تا اطلاعات یا درخواست‌های جعلی شده را به کاربران یا افراد دیگر ارسال کنند. این نوع حمله معمولاً با هدف تقلبی و تخریب اعتماد کاربران به سیستم مورد استفاده قرار می‌گیرد

آسیب پذیری  CVE-2023-38185:
آسیب‌پذیری در Microsoft Exchange Server است و با شدت بالا و  امتیاز 8.8 را کسب کرده است. این آسیب‌پذیری وجود نقطه‌ ضعیف در این نرم‌افزار است که به حمله‌کنندگان امکان می‌دهد تا کد مخرب را از راه دور اجرا کنند و در نتیجه کنترل بر سیستم را به دست بگیرند.

آسیب پذیری  CVE-2023-35368:
آسیب‌پذیری در Microsoft Exchange Server است و با شدت بالا و  امتیاز 8.8 را کسب کرده است. این آسیب‌پذیری دارای یک نقطه ضعف در نرم‌افزار مایکروسافت اکسچنج است که به حمله‌کنندگان امکان می‌دهد تا کد مخرب را از راه دور اجرا کنند، که این ممکن است منجر به نقض امنیت سیستم مورد تأثیر گردد.

آسیب پذیری  CVE-2023-35388:
آسیب‌پذیری در Microsoft Exchange Server است و با شدت بالا و  امتیاز 8 را کسب کرده است. این آسیب‌پذیری به معنای وجود نقطه ضعف در نرم‌افزار سرور مایکروسافت است که به حمله‌کنندگان امکان می‌دهد کد مخرب را از راه دور اجرا کنند و امنیت سیستم مورد تأثیر را تهدید کنند.

آسیب پذیری  CVE-2023-38182:
آسیب‌پذیری در Microsoft Exchange Server است و با شدت بالا و  امتیاز 8 را کسب کرده است. این آسیب‌پذیری به معنای وجود نقطه ضعف در نرم‌افزار سرور مایکروسافت است که به حمله‌کنندگان اجازه می‌دهد کد مخرب را از راه دور اجرا کنند و به این ترتیب امنیت سیستم مورد تأثیر قرار گیرد

 مراجع

آسیب‌پذیری Command Injection با شناسه CVE-2023-28130 در پورتال Gaia محصول Check Point کشف و گزارش شده است که با  یک حمله‌کننده با احراز هویت و دسترسی نوشتن در تنظیمات DNS، اجازه می‌دهد تا از طریق تزریق دستور، کد مخرب را از راه دور اجرا نماید. شدت این آسیب‌پذیری با امتیاز 8.4 و شدت بالا گزارش شده است. برای مطالعه بیشتر اینجا کلیک نمایید.