یک آسیب پذیری بحرانی با دسترسی Super Admin بر دستگاه های MikroTik تاثیر می گذارد. بیش از 900000 روتر RouterOS در معرض خطر هستند و توصیه می شود مدیران و کاربران وصله های موجود را اعمال کنند. 
این آسیب پذیری با شناسه CVE-2023-30799 و امتیاز 9.1 یک آسیب پذیری بحرانی به شمار می رود. مهاجم از راه دور و تایید هویت می تواند دسترسی ادمین را در رابطه با Winboxیا HTTP افزایش دهد. آسیب پذیری افزایش دسترسی که بر روی MikroTik RouterOS تاثیر می گذارد، توسط مهاجم می تواند برای اجرای کد و دسترسی دستگاه های آسیب پذیر اکسپلویت می شود. 
از آنجاییکه رابط های وب RouterOS و Winbox از طرح های رمزگذاری سفارشی استفاده می کنند، مهاجمان می توانند پس از کنترل دستگاه، رابط کاربری RouterOS را دور بزنند. 
مهاجمان برای اکسپلویت این آسیب پذیری و بدست آوردن دسترسی فوق مدیر، نیاز به دسترسی قبلی به یک حساب مدیریت دارند. از آنجاییکه دریافت اعتبار برای سیستم های RouterOS پیچیده نیست، دسترسی به یک حساب کاربری به همان اندازه آسان است. سیستم یک خط مشی رمز عبور قوی اعمال نمی کند. بنابراین، مدیران می توانند از رمزهای عبور ساده استفاده کنند که به راحتی در یک حمله brute force شکسته می شوند. علاوه براین، این سیستم فقط محافظت از نیروی brute force را در رابط SSH  ارائه می دهد. 

مهاجمان راه دور و تاییدهویت شده می توانند آسیب پذیری CVE-2023-39799 را درMikroTik RouterOS Long-term تا نسخه 6.49.8 اکسپلویت کنند. 
به مدیران و کاربران روترهای MikroTik توصیه می شود که به نسخه ثابت ارتقا دهند و بطور کلی سطح حمله را به حداقل برسانند، تا از این نوع و حملات مشابه توسط بازیگران راه دور جلوگیری کنند. از طریق حذف رابط های اداری MikroTik از اینترنت، محدود کردن آدرس های IP مدیران، یا با غیرفعال کردنWindows و رابط های وب می توانند جلوگیری از حملات را انجام دهند. همچنین باید SHH را برای استفاده از کلیدهای عمومی و خصوصی و غیرفعال کردن رمزهای عبور پیکربندی کنند. 
منابع خبر

 

اپل به روزرسانی‌های امنیتی جدیدی برای iOS، iPadOS، macOS، tvOS، watchOS و Safari  منتشر کرده است. در این به روزرسانی‌ها، چندین آسیب‌پذیری‌ امنیتی مربوط به دسته‌های مختلف کرنل، WebKit، Find My و Apple Neural Engine وصله می‌شوند. دو مورد از این آسیب‌پذیری‌ها به صورت فعالی در حملات علیه دستگاه‌های iOS مورد سوء استفاده قرار می‌گرفته‌اند. CVE-2023-38606 شناسه یکی از این آسیب‌پذیری‌ها است که در کرنل اپل شناسایی شده و امکان تغییر در وضعیت کرنل را فراهم می‌کند و به طور بالقوه کنترل آن را به مهاجم می‌دهد. این آسیب‌پذیری برای نسخه‌های قبل از iOS 15.7.1 به طور فعال اکسپلویت می‌شود. شایان ذکر است که CVE-2023-38606 یکی از آسیب‌پذیری‌هایی است که در حملات بدافزاری کمپین « Operation Triangulation» مورد استفاده قرار می‌گیرد. آسیب‌پذیری دیگر، CVE-2023-37450 است که یک نقص امنیتی در موتور مرورگر WebKit است که در آن پردازش محتوای وب ممکن است منجر به اجرای کد دلخواه توسط مهاجم شود. 

اطلاعات آسیب‌پذیری‌های وصله شده در این به روز رسانی به شرح زیر است: 

o    این قابلیت در دستگاه‌هایی با قابلیت Apple Neural Engine موجود است:
  iPhone 8  و ماقبل ،  iPad Pro (نسل 3) و ماقبل، iPad Air (نسل 3) و ماقبل، iPad mini (نسل 5)
o    با سوء استفاده از این آسیب‌پذیری امکان اجرای کد دلخواه با مجوز سطح کرنلی برای مهاجم فراهم می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط: 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری امکان خواندن اطلاعات حساس مکانی برای مهاجم فراهم می‌شود. 
o    شناسه آسیب‌پذیری مرتبط: 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری امکان اجرای کد دلخواه با مجوز سطح کرنلی برای مهاجم فراهم می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری مهاجم می‌تواند وضعیت کرنل را تغییر دهد. طبق گزارش‌های اعلامی اپل این آسیب‌پذیری در نسخه‌های iOS قبل از iOS 15.7.1. به صورت فعالی اکسپلویت می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری امکان اجرای کد دلخواه با مجوز سطح کرنلی برای مهاجم فراهم می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط 

•    Kernel

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری مهاجم می‌تواند امتیازات خود را ارتقا دهد. 
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری یک برنامه می‌تواند دسترسی روت بدست آورد.  
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری یک برنامه می‌تواند منجر به حمله منع دسترسی شود.   
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری یک برنامه می‌تواند از فضای سندباکس خود خارج شود.    
o    شناسه آسیب‌پذیری‌های مرتبط 

•    WebKit

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری یک وب‌سایت می‌تواند  Same Origin Policy را  دور بزند. 
o    شناسه آسیب‌پذیری‌های مرتبط 

•    WebKit

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری، پردازش یک صفحه وب منجر به اجرای کد دلخواه می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط 

•    WebKit

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری، پردازش یک صفحه وب منجر به اجرای کد دلخواه می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری، پردازش یک صفحه وب منجر به اجرای کد دلخواه می‌شود. طبق گزارش‌های اعلامی اپل این آسیب‌پذیری به صورت فعالی اکسپلویت می‌شود.
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری، پردازش یک صفحه وب منجر به اجرای کد دلخواه می‌شود.
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری، پردازش یک صفحه وب منجر به افشای اطلاعات حساس می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط 

   منبع خبر

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

جزییات جدیدی از بدافزار Decoy dog بعنوان یک ارتقاء قابل توجه روی تروجان Pupy RAT،  منتشر شده است که طی آن، از DNS یک سازمان برای  حملات C&C استفاده می نماید.  بدافزار Decoy dog مجموعه ای کامل از قابلیت های قدرتمند و ناشناخته را در خود جای داده است، مانند قابلیت انتقال controller که به حمله کننده این اجازه را می‌دهد تا بدون شناسایی شدن، زمانی طولانی‌تری ماشین هدف را کنترل کند. نقاط پایانی (End points) سازمانی که توسط این بدافزار در معرض خطر قرار می‌گیرد، از طریق پرس‌و‌جوهای DNS و پاسخ‌های آدرس IP با یک کنترل‌کننده (یعنی سرور) ارتباط برقرار می‌کند و دستورالعمل‌ها را از آن دریافت می‌کند. در واقع ترافیک DNS برای انتقال ارتباطات بین کلاینت‌ها و سرورها می‌تواند مورد سوء استفاده قرار می‌گیرد.
کمبود اطلاعات در مورد سیستم‌های قربانی و آسیب‌پذیری‌هایی که مورد سوء استفاده قرار می‌گیرند، Decoy Dog را به یک تهدید مداوم و جدی تبدیل می‌کند. در حال حاضر بهترین دفاع در برابر این بدافزار، تمرکز بر روی DNS است. توصیه می شود سازمان‌ها با استراتژی استفاده ازDNS بعنوان محافظ قوی در برابر این نوع تهدیدات پنهان پیش بروند و تمام درخواست های سمت DNS را به دقت مورد آنالیز قرار دهند. 

https://www.infosecurity-magazine.com/news/decoy-dog-malware-upgraded/

https://www.bleepingcomputer.com/news/security/mysterious-decoy-dog-malware-toolkit-still-lurks-in-…

شرکت Atlassian به‌روزرسانی‌هایی را جهت رفع سه نقص امنیتی در محصولات Confluence Data Center & Server و Bamboo Data Center منتشر نمود. بهره‌برداری از این آسیب‌پذیری‌ها به مهاجم اجازه می‌دهد دستورات دلخواه خود را بر روی سیستم هدف اجرا کند که این محرمانگی، یکپارچگی و دسترس پذیری را تحت تاثیر قرار می‌دهد. آسیب‌پذیری با شناسه CVE-2023-22508 و شدت 8.5 در نسخه 7.4.0 از Confluence Data Center & Server ایجاد شده که در نسخه 8.2.0 برطرف شده است. آسیب‌پذیری با شناسه CVE-2023-22505 و شدت 8.0 در نسخه 8.0.0 از Confluence Data Center & Server به وجود آمده و در نسخه‌های 8.3.2 و 8.4.0 برطرف شده است. این دو آسیب‌پذیری توسط یک کاربر کشف شده و از طریق برنامه Bug Bounty به این شرکت گزارش شده‌اند. برای بهره‌برداری از این آسیب‌پذیری‌ها نیازی به تعامل قربانی نیست، امام مهاجم باید دسترسی به یک حساب کاربری معتبر را داشته باشد. یک آسیب‌پذیری تزریق و اجرای کد با شناسه CVE-2023-22506 و شدت 7.5 در نسخه 8.0.0 از Bamboo Data Center به وجود آمده است و به مهاجمی که تصدیق هویت انجام داده اجازه می‌دهد اقدامات انجام شده توسط System Call را تغییر داده و کدهایی را از راه دور اجرا نماید. این آسیب‌پذیری از طریق برنامه تست نفوذ این شرکت کشف شده و در نسخه‌های 9.2.3 و 9.3.1 برطرف شده است. برای بهره‌برداری از این آسیب‌پذیری نیازی به تعامل قربانی نیست.
در ژانویه امسال نیز به روزرسانی‌هایی برای برطرف کردن آسیب‌پذیری با شناسه CVE-2023-22501 و شدت 9.4 در Jira Service Management Server and Data Center منتشر شده بود. با توجه به این موضوع سازمان‌هایی که از محصولات این شرکت استفاده می‌کنند ممکن است مورد توجه هکرها قرار بگیرند و توصیه می‌شود در اسرع وقت نسبت به نصب آخرین نسخه از این محصولات اقدام نمایند.
منابع:

 

اسکریپت acme.sh یک ابزار قدرتمند و ساده پروتکل ACME است که به طور کامل به زبان Unix shell نوشته شده و با شل‌های bash، dash و sh سازگاری دارد. این اسکریپت به نصب، تمدید و لغو گواهینامه‌های SSL کمک می‌کند. این اسکریپت به دسترسی روت نیاز ندارد ولی اجرای آن به صورت روت گاهی اوقات ممکن است بهتر باشد. یک کاربر چندی پیش متوجه شد که وب‌سایت https://www1.hi.cn/en/ با استفاده از اسکریپت acme.sh اقدام به تزریق دستورات دلخواه در فرایند دریافت گواهینامه امنیتی می‌کند. این درحالی است که چنین چیزی یک آسیب‌پذیری محسوب می‌شود و این شرکت به جای گزارش دادن این آسیب‌پذیری تصمیم گرفته از آن به عنوان یک ویژگی استفاده کند!
در واقع HiCA خروجی دستورات curl را به bash پایپ می‌کند که با این کار اسکریپت acme.sh دستوراتی را از یک سرور راه دور اجرا می‌کند و این یک نقض RFC 8555 و عدم شفافیت محسوب می‌شود. البته تاکنون گزارشی مبنی بر اجرای کد مخرب توسط این اسکریپت منتشر نشده است. شناسه CVE-2023-38198 با شدت 9.8 به این آسیب‌پذیری اختصاص داده شده است. در صورتی که از اسکریپت acme در پروژه‌های خود استفاده می‌کند، توصیه می‌شود آخرین نسخه این اسکریپت را دریافت نمایید.

منابع:

 

 

بدافزار جدید Avrecon، بطور مخفیانه روترهای اداری/دفتر خانگی کوچک (SOHO) را مورد هدف قرار داده است. این بدافزار اولین بار در می 2021 مشاهده شد و بیش از دو سال است که بدون شناسایی کار می کند و به بیش از 70000 دستگاه نفوذ کرده و یک بات نت با 40000 در 20 کشور ایجاد می کند. 
در زنجیره حملات این بدافزار، یک عفونت موفقیت آمیز با شمارش روتر SOHO قربانی اعمال شده و استخراج اطلاعات آن به یک سرور فرمان و کنترل تعبیه شده (C2) انجام می شود. همچنین، با جستجوی فرآیندهای موجود در پورت 48102 و بازکردن شنونده در آن پورت، اجرای نمونه های دیگر بدافزار روی میزبان را بررسی می کند و یک فرآیند محدود به آن پورت خاتمه می¬یابد. مرحله بعدی، برقراری ارتباط سیستم در معرض خطر با یک سرور جداگانه به نام سرور C2 ثانویه است، تا منتظر دستورات بعدی باشد. 
Avrecon به زبان برنامه نویسی C نوشته شده است و پورت کردن بدافزار برای معماری های مختلف را آسان می کند. علاوه بر این، یک دلیل مهم برای کارآمد بودن چنین حملاتی این است که از زیرساخت های زندگی در لبه هایی استفاده می کنند که از راه حل های امنیتی پشتیبانی نمی کنند. 
شواهد موجود نشان می دهد که بات نت برای کلیک کردن بر روی تبلیغات مختلف فیس بوک و گوگل و برای تعامل باMicrosoft Outlook  استفاده می شود. این عامل، بیانگر تلاش دوجانبه برای انجام تقلب تبلیغاتی و استخراج داده ها است. 
شیوه حمله این بدافزار، شستشوی فعالیت های مخرب با سرقت پهنای باند، بدون تاثیرگذاری بر روی کاربران نهایی است که برای ایجاد یک سرویس پروکسی خانگی و دسترسی به همان سطح خدمات تجاری VPN، متمرکز است.
دلیل موفقیت این گروه حملاتی این است که ماشین های هدف، راه حل های استاندارد تشخیص نقطه پایانی و پاسخ (ERD) را ارائه نمی دهند. مهاجمان ممکن است بر روی دستگاه های نوع SOHO که کاربران کمتر در برابر آسیب‌پذیری‌ها و مواجهه‌های رایج (CVE) وصله می کنند، تمرکز کنند. 

منابع خبر

 

[2] https://www.bleepingcomputer.com/news/security/avrecon-malware-infects-70-000-linux-routers-to-buil…

[3] https://securereading.com/avrecon-malware-infects-linux-soho-routers

 

پلاگین ProfileGrid در وردپرس، در برابر تغییرات غیرمجاز داده‌ها آسیب‌پذیر است، زیرا قابلیت بررسی عملکرد profile_magic_check_smtp_connection در آن وجود ندارد. 
آسیب پذیری بحرانی پلاگین ProfileGrid، با شناسه CVE-2023-3713 و امتیاز 8.8 ارزیابی شده است. آسیب پذیری در این پلاگین، این امکان را برای مهاجمان تأیید شده با مجوزهای سطح مشترک یا بالاتر فراهم می کند، تا گزینه های سایت را به روز کنند .مهاجمان می توانند از این آسیب پذیری، برای دستیابی به افزایش دسترسی استفاده کنند.
این آسیب پذیری، در برخی از پردازش های ناشناخته مولفه Option Update Handler پیدا شده است که بر محرمانگی، یکپارچگی و در دسترس بودن تاثیر می گذارد. 
آسیب پذیری CVE-2023-3713 در پلاگین ProfileGrid وردپرس، تا نسخه5.5.1  پیدا شده است.
منابع خبر

 

[2] https://vuldb.com/?id.234310

 

اسناد مایکروسافت ورد از آسیب‌پذیری اجرای کد از راه دور سواستفاده می‌کند و با استفاده از فیشینگ، بدافزاری به نام LokiBot را در سیستم نصب می‌کند. کارا لین محقق آزمایشگاه Fortinet FortiGuard گفت: «LokiBot، از سال 2015 به عنوان یک تروجان سرقت اطلاعات شناخته شده است. این آسیب‌پذیری سیستم‌های ویندوز را هدف قرار می دهد و هدف آن جمع آوری اطلاعات حساس از سیستم‌ها است." شرکت امنیت سایبری این آسیب‌پذیری را در می 2023 شناسایی کرده است. این حملات از آسیب‌پذیری‌های CVE-2021-40444 و CVE-2022-30190 برای نصب بدافزار به سیستم های قربانیان سوء‌استفاده می‌کنند.
فایل Word که با ‌استفاده از آسیب‌پذیری CVE-2021-40444 که حاوی یک لینک GoFile خارجی است و در یک فایل XML تعبیه شده است که منجر‌به دانلود یک فایل HTML می شود و LokiBot را رمزگشایی و راه اندازی می کند، سوء استفاده می کند. این آسیب‌پذیری‌ همچنین دارای تکنیکهایی است که برای بررسی وجود دیباگرها و تعیین اینکه آیا در یک محیط مجازی اجرا میشود، بکار میرود.
یک روش دیگر که در اواخر ماه می کشف شد توسط یک سند Word شروع می شود که شامل یک اسکریپت ویژوال بیسیک (VBA) است که بلافاصله پس از باز کردن سند با استفاده از توابع "Auto_Open" و "Document_Open" یک بد‌افزار ماکرو را اجرا می کند.
اسکریپت ماکرو متعاقباً به عنوان مجرای برای انتقال payload موقت از یک سرور راه دور عمل می کند، که همچنین به عنوان یک انژکتور برای بارگذاری LokiBot و اتصال به یک سرور فرمان و کنترل (C&C server) عمل می کند.
LokiBot، دارای قابلیت‌هایی برای ثبت ضربه‌های کلید، گرفتن اسکرین شات، جمع‌آوری اطلاعات اعتبار ورود به سیستم از مرورگرهای وب، و siphon داده‌ها از انواع کیف پول‌های ارزهای دیجیتال است.
کارا لین می گوید: "LokiBot یک بدافزار قدیمی و گسترده است که سال‌هاست فعال است. عملکردهای آن در طول زمان به بلوغ رسیده است و استفاده مجرمان سایبری را برای سرقت داده های حساس از قربانیان آسان می کند. مهاجمان پشت LokiBot به طور مداوم روش های دسترسی اولیه خود را به روز می کنند و به کمپین بدافزار آنها اجازه می دهند راه های کارآمدتری برای انتشار و آلوده کردن سیستم ها پیدا کنند."
منبع

https://thehackernews.com/2023/07/cybercriminals-exploit-microsoft-word.html

 

مهاجمان از یک آسیب پذیری بحرانی که اخیرا در پلاگین WooConnerce Payments WordPress افشا شده بود، برای حملات هدفمند گسترده استفاده می کنند. این گروه  حملات، به وب سایت های  Wordfence حمله می کنند. یک فایروال برنامه وب برای سایت های وردپرس گزارش کرده است که این گروه حملات بر روی زیرمجموعه کوچکتری از وب سایت ها تمرکز دارد. 
این آسیب پذیری که با عنوان CVE-2023-28121 و امتیاز 9.8 ارزیابی شده است،  یک مورد دور زدن تایید هویت است که به مهاجمان تایید هویت نشده امکان می دهد، با جعل هویت کاربران برخی اقدامات را حتی با جعل هویت مدیر انجام دهند که منجر به تصاحب سایت می شود. 
اکسپلویت موفقیت آمیز از آسیب پذیری پلاگین WooCommerce Payments وردپرس، به مهاجم تایید هویت نشده، اجازه می دهد درخواست هایی را از طرف یک کاربر با دسترسی بالا مانند مدیر ارسال کند. از این رو، مهاجم از راه دور و تایید هویت نشده می تواند به سایتی که با نسخه آسیب پذیر پلاگین فعال شده است، دسترسی مدیر داشته باشد.
گزارش ها نشان می دهد افزایش درخواست های شمارش پلاگین ها، از چند روز قبل، نشانه هایی از حملات گسترده را شناسایی کرده اند. این درخواست ها یک فایل خاص read.txt را در فهرست wp-content/plugins/woocommerce-payments/ در میلیون ها سایت جستجو می کردند. اگرچه، همه اسکن‌هایی که فایل‌های readme.txt را هدف قرار می‌دهند مخرب نیستند. بااین حال، افزایش جستجوها برای یک پلاگین خاص معمولاً نشان‌دهنده علاقه شدید عوامل تهدید است.
حفره مشترک مشاهده شده در حملات، استفاده از هدر درخواست HTTP "X-Wcpay-Platform-  Checkout-User: 1 است که باعث می شود سایت های حساس هر گونه بار اضافی را به عنوان یک کاربر مدیریتی Wordfence در نظر بگیرند. این حفره برای استقرار پلاگین WP Console استفاده می شود که می تواند برای اجرای کدهای مخرب و نصب یک آپلود کننده فایل برای تنظیم پایداری سایت در معرض آسیب پذیری باشد. 

محصولات تحت تأثیر
نسخه های 4.8.0 تا 5.6.1 پلاگین WooCommerce Payments آسیب پذیر هستند. بیش از 600000  وب سایت وردپرسی وجود دارد که از این پلاگین استفاده می کنند. وصله های مربوط به این آسیب پذیری توسط WooCommerce در مارس 2023 منتشر شد و وردپرس با استفاده از نسخه های آسیب پذیر نرم افزار، بروزرسانی هایی را برای سایت ها صادر کرد.
 منابع خبر

 

 

یک آسیب پذیری در Adobe's ColdFusion شناسایی شده است که به مهاجم اجازه می دهد، از این آسیب-پذیری برای اجرای کد از راه دور در سیستم مورد هدف استفاده کند. 
 Adobe به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری بحرانی، با عنوان  CVE-2023-38203 منتشر کرده است. یک مهاجم می تواند از این آسیب پذیری، برای اجرای کد خود بر روی یک سیستم آسیب پذیر استفاده کند.این آسیب پذیری، با امتیاز 9.8 ارزیابی شده است و در نسخه های ColdFusion 2018, 2021, 2023، به-عنوان آسیب زدایی از داده های غیر قابل اعتماد مشخص می شود. مهاجمان بطور فعال، از آسیب پذیری بحرانی در Adobe's ColdFusion برای دور زدن تایید هویت و اجرای دستورات، از راه دور استفاده می کنند و می توانند پوسته های وب را روی سرورهای آسیب پذیر نصب کنند. اکسپلویت زنجیره ای این آسیب پذیری ها، به مهاجمان این امکان را ایجاد می کند، پس از نصب یک پوسته وب روی نمونه های آسیب پذیر ColdFusion، برای انجام حملات بیشتر استفاده کنند. 
این نوع آسیب پذیری به مهاجم اجازه می دهد، تا داده های ساختگی کد خود را اجرا کند و منجر به از کار افتادن کامل سیستم شود. 
به کاربران ColdFusion توصیه شده است که آخرین به روز رسانی های امنیتی را نصب کنند، تا از سیستم های خود در برابر حملات احتمالی محافظت کنند.
منابع خبر