یک آسیب پذیری در Adobe's ColdFusion شناسایی شده است که به مهاجم اجازه می دهد، از این آسیب پذیری برای اجرای کد از راه دور در سیستم مورد هدف استفاده کند. Adobe به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری بحرانی، با عنوان CVE-2023-38203 منتشر کرده است. یک مهاجم می تواند از این آسیب پذیری، برای اجرای کد خود بر روی یک سیستم آسیب پذیر استفاده کند.
این آسیب پذیری، با امتیاز 9.8 ارزیابی شده است و در نسخه های ColdFusion 2018, 2021, 2023، به عنوان آسیب زدایی از داده های غیر قابل اعتماد مشخص می شود. 
مهاجمان بطور فعال، از آسیب پذیری بحرانی در Adobe's ColdFusion برای دور زدن تایید هویت و اجرای دستورات، از راه دور استفاده می کنند و می توانند پوسته های وب را روی سرورهای آسیب پذیر نصب کنند. اکسپلویت زنجیره ای این آسیب پذیری ها، به مهاجمان این امکان را ایجاد می کند، پس از نصب یک پوسته وب روی نمونه های آسیب پذیر ColdFusion، برای انجام حملات بیشتر استفاده کنند. 
این نوع آسیب پذیری به مهاجم اجازه می دهد، تا داده های ساختگی کد خود را اجرا کند و منجر به از کار افتادن کامل سیستم شود. 
به کاربران ColdFusion توصیه شده است که آخرین به روز رسانی های امنیتی را نصب کنند، تا از سیستم های خود در برابر حملات احتمالی محافظت کنند.
منابع خبر

[2] https://digital.nhs.uk/cyber-alerts/2023/cc-4358

[3]https://vulnera.com/newswire/critical-vulnerability-in-coldfusion-addressed-as-adobe- releases-another-key-patch

پلاگین ثبت نام کاربر وردپرس، بدلیل وجود یک کلید رمزنگاری سخت و عدم اعتبارسنجی نوع فایل، در برابر آپلود فایل آسیب پذیر است. این آسیب پذیری با شناسه CVE-2023-3342 و امتیاز 9.9 ارزیابی شده است که بیش از 60000 نصب فعال دارد. 
عدم اعتبارسنجی نوع فایل در عملکرد ur_upload_profile_pic، این پلاگین را در برابر آپلود فایل های ساختگی آسیب پذیر کرده است. مهاجم تایید هویت نشده می تواند، با قابلیت های مشترک یا بالاتر فایل های ساختگی، از جمله فایل¬های  PHPرا در سرور سایت آسیب پذیر آپلود کند و منجر به اجرای کد از راه دور شود. 
این آسیب پذیری تا نسخه 3.0.2  موجود و در نسخه  3.0.2.1برطرف شده است.
به کاربران توصیه می شود، تایید هویت دو مرحله ای را در وردپرس فعال کرده و رمزهای عبور را تغییر دهند، بخصوص اگر از همان ترکیب های اعتبار، در سایت های دیگر استفاده شده باشد. همچنین، توصیه می شود سایت هایشان را به آخرین نسخه وصله شده ثبت نام کاربر، به روز رسانی کنند.
منابع خبر

دو آسیب پذیری امنیتی جدید، بر مدل های ماژول های ارتباطیRockwell Automation ControlLogix EtherNet/IP (ENIP) تاثیر می گذارند. این آسیب پذیری ها می توانند از طریق دستیابی به اجرای کد از راه دور و انکار سرویس (DoS) اکسپلویت شوند. نتایج و تاثیر اکسپلویت این آسیب پذیری ها، بسته به پیکربندی سیستم ControlLinux متفاوت است، اما می تواند منجر به انکار یا از دست دادن کنترل، دید، سرقت داده های عملیاتی یا دستکاری کنترل برای پیامدهای مخرب بر روی سیستم شود. 
آسیب پذیری CVE-2023-3595 با امتیاز 9.8، در محصولات ارتباطی Rockwell Automation 1756 EN2* and 1756 EN3* ControlLogix communication products وجود دارد که به مهاجم اجازه می دهد، از طریق پروتکل صنعتی مشترک (CIP) ساخته‌شده به‌طور مخرب، کد از راه دور را با پایداری روی سیستم هدف اجرا کند. 
این آسیب پذیری علاوه بر به خطر افتادن خود ماژول آسیب‌پذیر، می‌تواند به مهاجم اجازه دهد، فرآیند صنعتی را همراه با زیرساخت‌های حیاتی زیربنایی تحت تأثیر قرار دهد، که ممکن است منجر به اختلال یا تخریب احتمالی شود.آسیب‌پذیری دیگری با شناسهCVE-2023-3596، در محصولات ارتباطی Rockwell Automation  1756-EN4* Ethernet/IP  وجود دارد که می‌تواند به مهاجم اجازه دهد، با اعلام سیستم هدف از طریق پیام‌های CIP ساختگی، به‌طور مخرب سرویس را انکار کند.
این آسیب پذیری ها در صورتی که با موفقیت اکسپلویت شوند، امکان دسترسی از راه دور به حافظه در حال اجرای ماژول و انجام فعالیت های مخرب را، برای مهاجم فراهم می کنند. دستگاه های آسیب پذیر شامل

 منابع خبر

شرکت سیسکو در خصوص یک آسیب پذیری بحرانی در Cisco SD-WAN vManage هشداری را صادر کرده است. این آسیب پذیری با شناسه CVE-2023-20214 و شدت بحرانی و امتیاز 9.1 در محصولات سیسکو یافت شده است. یک آسیب‌پذیری در اعتبارسنجی درخواست برای رابط برنامه‌نویسی برنامه‌های کاربردی (REST API) نرم‌افزار Cisco  SD-WAN vManage  وجود دارد که می‌تواند به یک حمله‌کننده غیرمجاز، اجازه دسترسی به مجوزهای خواندن یا محدود خواندن/نوشتن به پیکربندی نمونه Cisco SD-WAN vManage متأثر را بدهد.
این آسیب‌پذیری به دلیل عدم اعتبارسنجی کافی درخواست‌ها هنگام استفاده از ویژگی REST API به وجود می‌آید. یک حمله‌کننده می‌تواند از طریق ارسال درخواست API منحصربه‌فرد به یک نمونه vManage متأثر، از این آسیب‌پذیری بهره‌برداری کند. در صورت موفقیت آمیز بودن حمله، حمله‌کننده قادر خواهد بود اطلاعات را از پیکربندی نمونه Cisco  vManage  متأثر دریافت و اطلاعات را به آن ارسال کند. این آسیب‌پذیری تنها تأثیری بر روی REST API دارد و بر روی رابط مدیریت مبتنی بر وب یا رابط خط فرمان تأثیری ندارد. این APIها برای موارد زیر استفاده می‌شوند. 
•    نظارت بر وضعیت دستگاه
•    پیکربندی دستگاه
•    بدست آوردن اطلاعات آماری از دستگاه
نسخه های تحت تاثیر و اصلاح شده :
 

سیسکو اعلام کرده است که اطلاعاتی در خصوص اکسپلویت یا حملات استفاده شده برای این آسیب پذیری ندارد.
 برای بررسی اینکه آیا به این APIها درخواستی ارسال شده است می‌توان فایل لاگ که در مسیر زیر قرار دارد را بررسی کنید :

/var/log/nms/vmanage-server.log

با دستور CLI زیر میتونید این فایل رو مشاهده کنید :

vmanage# show log /var/log/nms/vmanage-server.log

اگه در نتایج عبارت Request Stored in Map is (/dataservice/client/server) for user (admin) بود، یعنی درخواست‌هایی به REST API ارسال شده  است.

توصیه :
سیسکو به‌روزرسانی‌های نرم‌افزاری را منتشر کرده است که این آسیب‌پذیری را رفع می‌کند. راه‌حل‌های موقتی برای رفع این آسیب‌پذیری وجود ندارد. همچنین گفته شده که می‌توانید با فعال کردن access control list) ACL) دسترسی به vManage رو محدود کنید.

مراجع

کمپانی Zimbra هشداری در خصوص اصلاح دستی آسیب پذیری XSS در سرورهای ایمیل Zimbra Collaboration Suite (ZCS)  صادر کرده است. زیمبرا به مدیران توصیه کرد که به صورت دستی یک آسیب‌پذیری روز صفر را که به صورت فعال، در هدف قرار دادن و نفوذ به سرورهای ایمیل زیمبرا Collaboration Suite (ZCS)  استفاده می‌شود، رفع کنند. این پلتفرم توسط 200 هزار کسب و کار در 140 کشور دنیا مورد استفاده قرار میگیرد که بخشی از آنها سازمانهای دولتی و مالی هستند. این یک آسیب پذیری از نوع reflected XSS است و در Zimbra Collaboration Suite نسخه 8.8.15  رخ میدهد و محرمانگی و یکپارچگی داده ها را تحت تاثیر قرار می‌دهد. اصلاحیه آن قرار است در انتشار اصلاحیه جولای منتشر شود. آسیب پذیری توسط محققین Google Threat Analysis Group گزارش شده است. این  کمپانی در خصوص اینکه این آسیب پذیری مورد سوء استفاده قرار گرفته است مطلبی را نگفته است.  اما Maddie Stone از Google Threat Analysis Group اعلام کرده است که آسیب پذیری هنگام اکسپلویت در یه حمله هدفمند کشف و به صورت روز صفر است. در حالی که زیمبرا هنوز پچ‌های امنیتی را برای رفع آسیب‌پذیری به صورت فعال ارائه نداده است، اما یک راه حل را برای تصحیح دستی ارائه کرده است که مدیران می‌توانند از آن برای حذف برداشت حمله استفاده کنند. برای رفع آسیب‌پذیری در تمام گره‌های صندوق پستی به صورت دستی، مدیران باید مراحل زیر را انجام دهند:
1.    نسخه پشتیبانی از فایل زیر را بگیرید.

2.    این فایل را ویرایش کنید و به خط شماره ۴۰ بروید.
3.     مقدار پارامتر را به مقدار زیر به‌روزرسانی کنید

 <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>. 

4.    قبل از به‌روزرسانی، خط به صورت زیر بوده است.

 <input name="st" type="hidden" value="${param.st}"/> 

5.    با اضافه کردن تابع escapeXml کمک می کنید تا ورودی کاربر ،که از برخی کاراکترهای خاصی که در XML markup استفاده می‌شوند رو پاکسازی کنید و در نتیجه جلوی XSS رو بگیرید.
 

مراجع

مایکروسافت، بروزرسانی های جدیدی برای رفع  132آسیب پذیری امنیتی جدید، در نرم افزار خود منتشر کرد که شامل 6 آسیب پذیری zero-day است که اکسپلویت شده است. از بین این آسیب پذیری ها، 9 آسیب-پذیری بحرانی و 122 آسیب پذیری مهم ارزیابی شده اند. این آسیب پذیری ها، علاوه بر 8 آسیب پذیری است که در پایان ماه گذشته، در Edge browser مبتنی بر Chromium خود وصله کرد.
مایکروسافت، در صورتی یک آسیب پذیری را به عنوان zero-day ارزیابی می کند که بصورت عمومی افشا شود و یا اکسپلویت شود. 6 آسیب پذیری zero-day که بطور فعال اکسپلویت شده اند، شامل این موارد هستند: 

در این آسیب پذیری، مهاجم حقوق کاربری را که برنامه آسیب پذیری را اجرا میکند را بدست می آورد. این آسیب پذیری، توسط مرکز اطلاعات تهدیدات مایکروسافت کشف شده است. مایکروسافت این آسیب پذیری را که با باز کردن یک فایل ساختگی، از طریق ایمیل یا وب-سایت های مخرب اکسپلویت شده بود را برطرف کرده است.

مهاجمان از این آسیب پذیری برای جلوگیری از نمایش Open File - Security Warning هنگام دانلود و بازکردن فایل ها از اینترنت اکسپلویت کرده اند. این آسیب پذیری، توسط مرکز اطلاعات تهدیدات مایکروسافت کشف شده است.

این آسیب پذیری، به مهاجم اجازه میدهد تا حساب ادمین را در دستگاه ویندوز به دست آورند. مهاجم باید به دستگاه مورد نظر دسترسی محلی داشته باشد و با حقوق محدودی که کاربران عادی بطور پیش فرض دارند، باید بتواند پوشه ها و ردیابی عملکرد روی دستگاه ایجاد کند.

 CVE-2023035311 - Microsoft Outlook Security Feature Bypass Vulnerability

این آسیب پذیری، هشدارهای امنیتی را دور می زند و در صفحه پیش نمایش کار می کند. مهاجم با استفاده از این آسیب پذیری، می تواند اعلان امنیتی Microsoft Outlook را دور بزند. مایکروسافت، این آسیب پذیری را رفع کرده است. 

CVE-2023-36884- Office and Windows HTML Remote Code Execution Vulnerability

مایکروسافت دستورالعمل‌هایی را در موردMicrosoft Office  و ویندوز zero-day وصله نشده منتشر کرده است که امکان اجرای کد از راه دور را، با استفاده از اسناد Microsoft Office  ایجاد می کند. همچنین، در حال بررسی گزارش های تعدادی از آسیب پذیری های اجرای کد از راه دور است که بر ویندوز و محصولات Office تأثیر می گذارد. مهاجم می تواند، یک سند Microsoft Office  ساخته شده ایجاد کند که اجازه می دهد، کد از راه دور را در زمینه قربانی انجام دهند. با این حال، یک مهاجم باید قربانی را متقاعد کند که فایل مخرب را باز کند.

ADV230001- Malicious use of Microsoft-signed drivers for post-exploitation activity

مایکروسافت اعلام کرده است که درایورهای تایید شده، توسط برنامه توسعه سخت افزار ویندوز مایکروسافت، به طور مخرب اکسپلویت شده اند. در این حملات، مهاجم قبل از استفاده از درایورها، حساب های مدیریتی را بر روی سیستم های در معرض خطر به دست آورده بود. چندین حساب توسعه دهنده، برای مرکز شریک مایکروسافت (MPC) درگیر ارسال درایورهای مخرب، برای به دست آوردن امضای مایکروسافت بوده اند. همه حساب‌های توسعه‌دهنده درگیر، در این حادثه بلافاصله به حالت تعلیق درآمدند.
 منابع خبر

[1] https://thehackernews.com/2023/07/microsoft-releases-patches-for-130.html

[2] https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2023-patch-tuesday-warns-of-6-zero-d…

کمپانی فورتینت از یک ضعف امنیتی با شدت بحرانی در فورتی‌اواس (FortiOS) و فورتی‌پراکسی (FortiProxy) خبر داده است که به یک حمله‌کننده از راه دور امکان اجرای کد دلخواه را در دستگاه‌های آسیب‌پذیر می‌دهد. این ضعف که توسط شرکت امنیتی Watchtowr کشف شده است، با شناسه CVE-2023-33308 ردیابی می‌شود و امتیاز CVS v3 آن 9.8 از 10.0 است که به عنوان بحرانی رده‌بندی شده است. فورتینت در یک اعلان جدید از ضعف، هشدار داده است: یک آسیب پذیری سرمبنای بالا [CWE-124] در فورتی‌اواس و فورتی‌پراکسی ممکن است اجازه دهد تا یک حمله‌کننده از راه دور کد یا دستور دلخواه را از طریق بسته‌هایی که به سیاست‌های پروکسی یا سیاست‌های فایروال با حالت پروکسی و همچنین بررسی عمیق بسته‌های SSL می‌رسند، اجرا کند.
یک سرریز مبتنی بر استک (stack-based overflow) یک مشکل امنیتی است مهاجم راه دور با ارسال بسته های مخربی که به خط مشی های فایروال و پروکسی در حالت proxy mode و SSL deep packet inspection  می‌رسد، میتواند کد یا دستور دلخواه را اجرا کند. 
این ضعف در نسخه‌های زیر از FortiOS تأثیر می‌گذارد:

 

نسخه های اصلاح شده به شرح  زیر هستند:

•    FortiOS version 7.4.0 or above

•    FortiOS version 7.2.4 or above

•    FortiOS version 7.0.11 or above

•    FortiProxy version 7.2.3 or above

•    FortiProxy version 7.0.10 or above

اگر مدیران قادر به اعمال نسخه‌نرم‌افزار جدید به‌صورت فوری نباشند، فورتینت می‌گوید که می‌توانند  پشتیبانی HTTP/2 را در پروفایل‌های SSL inspection که توسط خط مشی های پروکسی یا فایروال با حالت proxy mode استفاده می‌شوند را غیرفعال کنید. در مثال زیر این ویژگی را در یک پروفایل با عنوان custom-deep-inspection غیرفعال کرد است.

config firewall ssl-ssh-profile
   edit "custom-deep-inspection"
      set supported-alpn http1-1
   next
end

در نهایت پروفایل‌های امنیتی در حالت proxy mode می‌توانند SSL inspection را روی ترافیک HTTP/2  که توسط TLS 1.2 یا TLS 1.3 امن شده‌اند توسط Application-Layer Protocol Negotiation (ALPN) اجرا کنند. دستور بالا با تنظیم http1-1 روی این پروفایل‌ها، ترافیک HTTP/1.1  رو فقط فوروارد می‌کند.

مراجع

شرکت Apple، بروزرسانی های Rapid Security Response (RSR) را برای رفع آسیب پذیری جدید روز صفر اکسپلویت شده در حملات، منتشر کرده است که برiOS ، iPadOS و macOS تاثیر می گذارد. 
آسیب پذیری WebKit که با نام CVE-2023-37450 فهرست بندی شده است، می تواند به مهاجمان اجازه دهد تا هنگام پردازش محتوای وب ساختگی، کد خود را اجرا کنند. این آسیب پذیری بحرانی، در Apple iOS و iPadOS نسخه های16.5.1  کشف شده است که محرمانگی، یکپارچگی و در دسترس بودن را تحت تاثیر قرار می دهد. در صورتی که قربانی نوعی تعامل با کاربر انجام دهد، این آسیب پذیری روی می دهد. با اینکه جزئیات فنی آسیب پذیری ناشناخته است، یک اسکپلویت در دسترس است.
شرکت Apple، در مورد سیستم هایی که وصله های RSR در آن ها ارائه می شوند، هشدار داده است. این پاسخ امنیتی سریع، آسیب پذیری های مهمی را رفع می کند و به همه کاربران توصیه می شود. 
وصله های RSR، به عنوان بروزرسانی های فشرده برای رفع نگرانی های امنیتی در معرفی شده اند و هدف آنها حل مشکلات امنیتی است که بین بروزرسانی های اصلی نرم افزار ایجاد می شود. 
علاوه بر این، برخی بروزرسانی های امنیتی ممکن است، برای مقابله با آسیب پذیری های امنیتی که بطور فعال در حملات اکسپلویت شوند، استفاده شوند. 
بروزرسانی های iOS 16.5.1، iPadOS 16.5.1، macOS Ventura 13.4.1، Safari 16.5.2 برای دستگاه هایی که نسخه سیستم عامل دارند، مانند iOS 16.5.1 و iPadOS 16.5.1، macOS Ventura 13.4.1، macOS Big Sur و macOS Monterey در دسترس هستند. 

نوعی باج‌افزار جدید به نام «Big Head» کشف شده است که ممکن است از طریق تبلیغات نادرست که به‌روزرسانی‌های جعلی ویندوز و نصب‌کننده‌های Microsoft Word را تبلیغ می‌کنند، منتشر شود. دو نمونه از بدافزار قبلاً توسط شرکت امنیت سایبری Fortinet تجزیه و تحلیل شده است.  یک گزارش فنی درباره Big Head منتشر شده است که ادعا می‌شود هر سه نوع بدافزار که نمونه‌برداری شده است از یک اپراتور منشا گرفته و احتمالاً رویکردهای مختلفی را برای بهینه‌سازی حملات خود آزمایش می‌کند. برای مطالعه بیشتر اینجا کلیک نمایید.
 

آسیب‌پذیری با شناسه CVE-2023-36934 یک آسیب‌پذیری شناخته شده و بحرانی است که به مهاجمان اجازه می‌دهد، پایگاه‌داده را دستکاری کنند و کد خود را اجرا کنند. مهاجمان با اکسپلویت این آسیب-پذیری،  payloadهای طراحی شده را به نقاط پایانی از برنامه آسیب‌پذیر ارسال می‌کنند که می‌تواند داده-های حساس در پایگاه‌داده را تغییر داده و افشا کند. 
این آسیب‌پذیری، بدلیل اینکه مهاجم می‌تواند بدون نیاز به ورود به سیستم آن را اکسپلویت کند، اهمیت بالایی دارد. از این رو، مهاجمان حتی می‌توانند بدون اعتبارنامه نیز آسیب‌پذیری را با موفقیت اکسپلویت کنند. 
پس از انجام حملات سایبری اخیر که مهاجمان یک آسیب‌پذیری تزریق SQL متفاوت (CVE-2023-34362) برای هدف قرار دادن MOVEit Transfer با باج‌افزار Clop را اکسپلویت کردند (برای مطالعه در این خصوص اینجا کلیک نمایید)، این آسیب‌پذیری نیز کشف شد.
آخرین بروزرسانی های امنیتی، دو آسیب پذیری با شدت بالا دیگر با شناسهCVE-2023-36932  و CVE-2023-36933 را نیز رفع می کند. آسیب پذیری CVE-2023-36933 یک آسیب پذیری تزریق SQL است که می تواند توسط مهاجمانی که وارد سیستم شده اند، برای دسترسی غیرمجاز به پایگاه داده MOVEit Transfer اکسپلویت شود. از سوی دیگر، مهاجمان می توانند با اکسپلویت این آسیب پذیری، برنامه MOVEit Transfer را بطور غیر منتظره خاموش کنند. 

این آسیب پذیری ها، بر چندین نسخه MOVEit Transfer، شامل نسخه های 12.1.10 و قبلی، 13.0.8 و قبلی،  14.0.6و بالاتر،   14.1.7و قبلی، 15.0.3 و قبلی تاثیر می گذارند. 
بروزرسانی های لازم، برای تمام نسخه های اصلی MOVEit Transfer در دسترس قرار گرفته است. به کاربران توصیه می شود، برای کاهش خطرات ناشی از این آسیب پذیری ها، به آخرین نسخه MOVEit Transfer بروزرسانی نمایند. 
منابع خبر