گوگل برای ماه جولای، 46 آسیب‌پذیری را در اندروید اصلاح کرده است. 2 مورد دارای شدت بحرانی،یک مورد با شدت متوسط و بقیه موارد دارای شدت بالا هستند. 3 مورد از این آسیب‌پذیری ها هم زیرودی است که قبلا در حملاتی مورد استفاده قرار گرفته است. برای مطالعه بیشتر اینجا کلیک نمایید.

آسیب‌پذیری با شناسه CVE-2023-20185 و شدت بالا و امتیاز 7.4 در محصولات سیسکو یافت شده است. سیسکو هشداری را در برخی از سوئیچهای دیتاسنتر خود منتشر کرده است. این آسیب پذیری در ویژگی Cisco ACI Multi-Site CloudSec encryption  سوئیچ‌های Cisco Nexus 9000 Series Fabric در حالت ACI mode است. به موجب این آسیب‌پذیری مهاجم راه دور و بدون احرازهویت امکان مشاهده و دستکاری ترافیک رمزنگاری شده درون سایتی (intersite) را دارد . همچنین مهاجم با قرار گرفتن بین سایتهای ACI ، می‌تو‌اند ترافیک را رهگیری کند ، سپس با استفاده از تکنیک‌های شکستن رمز، این رمزنگاری را شکسته و از آسیب پذیری سوء استفاده کند.
این آسیب‌پذیری بر روی Cisco Nexus 9000 Series Fabric Switches در حالت ACI تأثیر می‌گذارد که در نسخه‌های 14.0 و بعدتر اجرا می‌شوند، اگر به عنوان بخشی از یک توپولوژی Multi-Site باشند و ویژگی رمزگذاری CloudSec فعال شده باشد.
رمزگذاری CloudSec در حال حاضر نیازمند استفاده از سوئیچ‌های Cisco Nexus 9332C یا Cisco Nexus 9364C Fixed Spine Switches، یا Cisco Nexus 9500 Spine Switches است که مجهز به کارت خط Cisco Nexus N9K-X9736C-FX  باشند.
به منظور تعیین اینکه آیا ویژگی رمزگذاری CloudSec در حال استفاده در یک سوئیچ ACI است یا خیر، شما باید به بخش) "Infrastructure" زیرساخت) بروید، سپس به )"Site Connectivity" ارتباط بین سایت‌ها) و سپس به "Configure" (پیکربندی) و) "Sites" سایت‌ها) و سپس به نام سایت خود بروید. در اینجا باید به بخش "Inter-Site Connectivity" (ارتباط بین سایت‌ها) بروید و بررسی کنید که آیا رمزگذاری CloudSec فعال شده است یا خیر.

Infrastructure > Site Connectivity > Configure > Sites > site-name > Inter-Site Connectivity

در صورتی که از یک سوئیچ Cisco Nexus 9000 Series Spine استفاده می‌کنید و می‌خواهید بفهمید آیا رمزگذاری CloudSec  در آن استفاده می‌شود یا خیر، باید از طریق خط فرمان سوئیچ از دستور "show cloudsec sa interface all" استفاده کنید. اگر خروجی این دستور برای هر رابط، وضعیت عملیاتی (Operational Status) را نشان دهد، به این معنی است که رمزگذاری CloudSec فعال است. برای مثلا در نمونه زیر این ویژگی فعال است :

  POD1-SPINE1# show cloudsec sa interface all

=====================================================================
Interface: Eth1/63.63(0x1a03e03f) Physical Interface: Eth1/63(0x1a03e000)
    Operational Status: UP Retry: Off Control: deprecatedUdpPort
--------------------------------------------------------------------------------
Site-Id: 2 Peer: 172.16.200.200/32 Type: msite-multicast-tep Operational Status: UP

سیسکو برای این آسیب پذیری، اصلاحیه ای منتشر نکرده است و از کاربرانی که از ویژگی Cisco ACI Multi-Site CloudSec encryption  در سوئیچ های Cisco Nexus 9332C و Nexus 9364C و Cisco Nexus N9K-X9736C-FX  Line Card  استفاده میکنند، خواسته تا این ویژگی را غیرفعال کنند.
منبع

تکنیک تزریق فرآیند جدیدی با عنوان Mockingjay می تواند توسط مهاجمان، با هدف دور زدن راه حل های امنیتی برای اجرای کدهای مخرب در سیستم های آسیب پذیر اکسپلویت شود. این تکنیک امکان اجرای کد از راه دور در فضای آدرس فرآیندهای قانونی را فراهم می کند. 
تزریق فرآیند، یک روش حمله است که به مهاجمان اجازه می دهد تا کد را به فرآیندها تزریق کنند تا بتوانند دفاع مبتنی بر فرآیند را دور زنند و امتیازات را افزایش دهند. این تکنیک روی یک DDL آسیب پذیر و کپی کد در قسمت خاصی از آن انجام می شود. مهاجم می تواند از این طریق، امکان اجرای کد در فضای حافظه یک فرآیند در حال انجام را فراهم کند. 
تکنیک جدید تزریق فرآیند Mockingjay  به مهاجم اجازه می دهد در حالی که از اقدامات امنیتی دوری می کند، بتواند بدافزار را اجرا کند. همچنین، این تکنیک می تواند با استفاده از DLLهای قانونی با بخش های خواندن، نوشتن، اجرا (RWX)، ابزارهای تشخیص را دور بزند و به طور مخفیانه کدهای مخرب را به فرآیندهای راه دور تزریق کند.
این تکنیک برپایه API است. متداول ترین تکنیک های تزریق فرآیند شامل Self injection، Classic DLL Injection، PE Injection، Process Hollowing / Run PE، Thread Execution Hijacking، Mapping Injection، APC Injection and Atombombing، Process Doppelganging هستند. 
هر یک از این روش ها، به ترکیبی از فراخوانی های سیستمی و APIهای ویندوز، برای انجام تزریق نیاز دارند. Mockingjay  می تواند این لایه های امنیتی با حذف نیاز به اجرای API های ویندوز که توسط راه حل های امنیتی نظارت می شوند، با استفاده از فایل های اجرایی قابل حمل ویندوز که حاوی یک بلوک حافظه پیش-فرض محافظت شده با Read-Write-Execute (RWX) هستند، زیرو رو کند. 
ممکن است DLL های حساس دیگری با ویژگی های مشابه وجود داشته باشد. دو روش مختلف Self Injection و تزریق Remote Process Injection، برای دستیابی به تزریق کد بررسی شده است که علاوه براینکه کارایی حمله را بهبود می بخشد، تشخیص را نیز دور می زند. 
در رویکرد اول، یک برنامه کاربردی سفارشی برای بارگذاری مستقیم DLL آسیب پذیر در فضای آدرس آن و در نهایت اجرای کد با استفاده از بخش RWX استفاده می شود. از سوی دیگر، تزریق فرآیند از راه دور، مستلزم استفاده از بخش REX درDLL آسیب پذیر، برای انجام تزریق فرآیند در یک فرآیند راه دور مانند ssh.exe است.
ویژگی این تکنیک این است که نیازی به تخصیص حافظه، تنظیم مجوزها یا ایجاد یک رشته جدید در فرآیند هدف، برای شروع اجرای کد تزریقی نیست. این عامل، سبب متمایز شدن این استراتژی از سایر تکنیک های موجود می شود و تشخیص این روش را برای سیستم های تشخیص و پاسخ نقطه پایانی (EDR) چالش برانگیز می کند. 
 منابع خبر

[1] https://thehackernews.com/2023/06/new-mockingjay-process-injection.html

[2] https://heimdalsecurity.com/blog/new-mockingjay-process-injection-method-enables-malware-evade-edr-…

مجموعه‌ای از هشت نقص در فهرست آسیب‌پذیری‌های شناخته شده   شامل شش آسیب‌پذیری در گوشی‌های هوشمند سامسونگ و دو آسیب‌پذیری در دستگاه‌های D-Link  که تأثیر گذار بوده است معرفی شده است.

• آسیب پذیری‌های D-Link:

1- CVE-2019-17621: اجرای کد(تأیید نشده) از راه دور در روتر D-Link DIR-859.

این آسیب‌پذیری که در نقطه پایانی UPnP D-Link یافت می‌شود، دارای امتیاز CVSS = 9.8 است که نشان دهنده یک خطر بحرانی است.

2 - CVE-2019-20500: آسیب‌پذیری تزریق فرمان سیستم‌عامل در D-Link DWL-2600AP.

این آسیب‌پذیری که در پارامتر configBackup یا downloadServerip قرار دارد، دارای امتیاز CVSS 7.8  است که نشان دهنده ریسک بالا است.

در مارس 2023، تهدید‌کنند‌گان از این آسیب‌پذیری‌های D-Link (CVE-2019-17621، CVE-2019-20500) برای انتشار گونه‌ای از بات‌نت Mirai سوء‌استفاده کردند.

• آسیب پذیری دستگاه های موبایل سامسونگ:

1- CVE-2021-25487: آسیب‌پذیری خواندن حافظه دستگاه های موبایل سامسونگ.
این آسیب پذیری به دلیل عدم بررسی مرز در بافر وجود دارد و دارای امتیاز CVSS = 7.8 است.
2- CVE-2021-25489: آسیب‌پذیری اعتبارسنجی ورودی نامناسب دستگاه‌های موبایل سامسونگ.
این آسیب پذیری به دلیل اعتبارسنجی نامناسب ورودی در رابط مودم وجود دارد و دارای امتیاز CVSS 5.5  است.
3- CVE-2021-25394: آسیب‌پذیری Race Condition در دستگاه های موبایل سامسونگ.
این آسیب‌پذیری به‌عنوان Race Condition در درایورهای شارژر رخ می‌دهد و دارای امتیاز CVSS 6.4  است که نشان‌دهنده ریسک متوسط است.
4- CVE-2021-25395: آسیب‌پذیری Race Condition در دستگاه های موبایل سامسونگ.
Race Condition در درایور شارژر، مهاجمان محلی را قادر می‌سازد تا بررسی‌های امضا را دور بزنند که این آسیب پذیری دارای امتیاز CVSS 6.4 (متوسط) است.
5- CVE-2021-25371: آسیب‌پذیری نامشخص موبایل‌های سامسونگ.
این آسیب پذیری در درایور DSP به مهاجمان اجازه می دهد تا کتابخانه های دلخواه ELF را بارگیری کنند و دارای امتیاز CVSS 6.7 (متوسط) است.
6- CVE-2021-25372: آسیب‌پذیری بررسی نامناسب مرزها در دستگاه های موبایل سامسونگ.
این آسیب‌پذیری به دلیل بررسی‌های مرزی نامناسب در درایور DSP، امکان دسترسی به حافظه خارج از محدوده و داشتن امتیاز CVSS 6.7 (متوسط) وجود دارد.
تاکنون گزارشی مبنی‌بر سوء‌استفاده از آسیب‌پذیری‌های تلفن همراه سامسونگ اعلام نشده‌است. با این حال، یک فروشنده نرم‌افزار‌های جاسوسی تجاری احتمالا قبلاً از این آسیب‌پذیری‌ها استفاده کرده است. به کاربران محصول توصیه می‌شود برای کاهش خطر حملات سایبری احتمالی، جدیدترین وصله‌های فروشنده را نصب کنند.

منابع

https://securityaffairs.com/148079/security/cisa-adds-samsung-and-d-link-bugs-to-its-known-exploite…;

https://nextdoorsec.com/samsung-and-d-link-under-cyber-threat-eight-new-vulnerabilities-detected-by…

یک آسیب‌پذیریب حرانی در SourceCodester Human Resource Management System 1.0 شناسایی شده است. مهاجم تایید هویت نشده، می تواند از راه دور دستورات SQL  را در پایگاه داده اجرا کند.

این آسیب پذیری با شناسه CVE-2023-3391 و امتیاز 9.8 ارزیابی شده است و یک عملکرد ناشناخته از فایل detailview.php را تحت تاثیر قرار می دهد. دستکاری آرگومان employeeid با یک ورودی ناشناخته، منجر به آسیب پذیری تزریق sql و حمله از راه دور می شود. این محصول یک سیستم مدیریت منابع انسانی و یک web application است و هدف آن ارائه یک پلتفرم خودکار آنلاین برای مدیریت یا ارسال درخواست مرخصی کارمندان شرکت است. 
نرم افزار، تمام یا بخشی از دستور SQL را با استفاده از ورودی تحت تاثیر خارجی از یک مولفه می سازد، اما عناصر خاصی را که می توانند دستور SQL موردنظر را هنگام ارسال به مولفه تغییر دهند، خنثی نمی کند و از این رو، بر محرمانگی، یکپارچگی و در دسترس بودن تاثیر می گذارد. 
در ورودی های قابل کنترل توسط کاربر، پرس و جویSQL  تولید شده می تواند موجب تفسیر این ورودی ها بجای داده های کاربر معمولی شوند. این عامل می تواند برای تغییر منطق پرس و جو برای دور زدن بررسی-های امنیتی، یا درج عبارات اضافی که پایگاه داده back-end را تغییر می دهد، استفاده شود. این آسیب پذیری موجب می شود SQL هیچ تمایزی بین صفحات کنترل و داده ایجاد نکند.
این آسیب پذیری به دلیل پاک سازی ناقص داده های ارائه شده توسط کاربر در اسکریپت detailview.php وجود دارد. کاربر از راه دور، می تواند یک درخواست ساختگی را به برنامه آسیب پذیر ارسال کند و دستورات SQL از راه دور را در پایگاه داده اجرا کند. 
اکسپلویت موفق این آسیب پذیری ممکن است به مهاجم از راه دور اجازه دهد تا داده ها را در پایگاه داده بخواند، حذف کند، اصلاح کند و کنترل کاملی بر برنامه آسیب پذیر بدست آورد. این اکسپلویت بصورت عمومی افشا نشده است و ممکن است مورد استفاده قرار گیرد.
3    منابع خبر

یک حمله جدید بر روی گوشی‌های اندرویدی با استفاده از نسخه جدید بدافزار GravityRAT از ماه آگوست ۲۰۲۲ در حال گسترش است. این بدافزار با نام 'BingeChat' یک برنامه چت تروجانی شده است که سعی در سرقت اطلاعات از دستگاه های قربانی می کند. به گزارش لوکاس استفانکو، پژوهشگر ESET که پس از دریافت یک اطلاعات از تیم MalwareHunterTeam، نمونه را تحلیل کرد، یکی از افزوده های جدید قابل توجه در نسخه جدید GravityRAT سرقت فایل های پشتیبان WhatsApp است. فایل‌های پشتیبان WhatsApp برای کمک به کاربران برای انتقال تاریخچه پیام‌ها، فایل‌های چندرسانه‌ای و داده‌ها به دستگاه‌های جدید ایجاد می‌شوند، بنابراین ممکن است حاوی اطلاعات حساسی مانند متن، ویدئو، عکس، اسناد و غیره باشند.
GravityRAT, با استفاده از برنامه چت تروجانی 'BingeChat'، اقدام به نفوذ به دستگاه‌های اندرویدی کرده و سعی در سرقت اطلاعات حساس از آنها دارد. از جمله اطلاعاتی که GravityRAT هدف قرار می‌دهد، فایل‌های پشتیبان WhatsApp است که حاوی تاریخچه پیام‌ها، فایل‌های چندرسانه‌ای و داده‌های کاربران است.این بدافزار با نفوذ به گوشی‌ها، فایل‌های پشتیبان WhatsApp را سرقت می‌کند که به صورت روشن و بدون رمزنگاری قرار دارند. این فایل‌های پشتیبان ممکن است اطلاعات حساسی مانند مکالمات صوتی و تصویری، پیام‌های متنی، تصاویر، ویدئوها و سایر فایل‌های مرتبط با WhatsApp را شامل شوند. GravityRAT  از سال ۲۰۱۵ فعالیت خود را آغاز کرده است، اما برای اولین بار در سال ۲۰۲۰ به سوی سیستم‌عامل اندروید هدف گرفته است. اپراتورهای آن، با نام "SpaceCobra" شناخته می‌شوند و از این جاسوس اطلاعات به صورت انحصاری و در عملیات هدفمند استفاده می‌کنند. در حال حاضر، GravityRAT با نام "BingeChat" شناخته شده است و به عنوان یک برنامه چت با رمزنگاری نهایی به نهایی (end-to-end) با رابط کاربری ساده و قابلیت‌های پیشرفته معرفی می‌شود.
به گفته ESET، اپلیکیشن از طریق "bingechat[.]net" و احتمالاً دامنه‌ها و کانال‌های توزیع دیگری ارسال می‌شود، اما دانلود این اپلیکیشن بر اساس دعوت است و برای ورود کاربران نیاز به اعتبارهای معتبر یا ثبت نام در حساب جدید دارد. اگرچه ثبت نام‌ها در حال حاضر بسته شده است، این روش فقط به آنها امکان توزیع برنامه‌های مخرب به افراد هدف را می‌دهد. همچنین، برای پژوهشگران دسترسی به یک نسخه برای تحلیل دشوارتر می‌شود. اپراتورهای GravityRAT در سال ۲۰۲۱ با استفاده از یک اپلیکیشن چت به نام 'SoSafe' و قبل از آن با نام 'Travel Mate Pro'، فایل‌های APK مخرب اندروید را به افراد هدف ارسال کردند. استفانکو متوجه شده است که این اپلیکیشن یک نسخه تروجانی شده از OMEMO IM است، که یک اپلیکیشن لحظه‌ای متن‌باز و معتبر برای اندروید است. پس از بررسی بیشتر، تحلیلگر ESET متوجه شد که SpaceCobra از OMEMO IM به عنوان پایه برای یک اپلیکیشن جعلی دیگر به نام "Chatico" استفاده کرده است که در تابستان سال ۲۰۲۲ از طریق "chatico.co[.]uk" که در حال حاضر آفلاین است به افراد هدف توزیع شده است.

نمودار عملیاتی (ESET)

GravityRAT دارای قابلیت‌های زیر است:
پس از نصب برنامه BingeChat بر روی دستگاه هدف، این برنامه درخواست دسترسی به مجوزهای خطرناک را دارد که شامل دسترسی به مخاطبین، موقعیت مکانی، تلفن، پیامک، حافظه، سوابق تماس، دوربین و میکروفون است. این مجوزها برای برنامه‌های پیام‌رسان معمولی است و احتمالاً برای قربانی شبیه به یک عملکرد طبیعی به نظر می‌رسد و تشکیل شک و تردید نمی‌دهد.
قبل از ثبت نام کاربر در BingeChat، این برنامه سوابق تماس‌ها، لیست مخاطبین، پیامک‌ها، موقعیت دستگاه و اطلاعات پایه دستگاه را به سرور فرمان و کنترل (C2) تهدید ارسال می‌کند.
علاوه بر این، فایل‌های رسانه‌ای و اسناد با پسوندهای jpg، jpeg، log، png، PNG، JPG، JPEG، txt، pdf، xml، doc، xls، xlsx، ppt، pptx، docx، opus، crypt14، crypt12، crypt13، crypt18 و crypt32 نیز سرقت می‌شوند. پسوندهای فایل crypt به فایل‌های پشتیبانی از برنامه WhatsApp Messenger اشاره دارند که قبلاً ذکر شد.

استخراج داده ها از دستگاه قربانی (ESET)

یکی از ویژگی‌های قابل توجه دیگر GravityRAT قابلیت دریافت سه دستور از C2 است، به عبارتی "حذف همه فایل‌ها" (با یک پسوند مشخص شده)، "حذف همه مخاطبین" و "حذف همه سوابق تماس" است. اگرچه کمپین‌های SpaceCobra بسیار هدفمند و عمدتاً در هند متمرکز هستند، همه کاربران اندروید باید از دانلود فایل‌های APK از خارج از Google Play خودداری کرده و در هنگام نصب هر برنامه، درخواست‌های مجوزهای خطرناک را با احتیاط مورد بررسی قرار دهند.
بنابراین، توجه به امنیت دستگاه‌های اندرویدی و جلوگیری از نصب برنامه‌های مشکوک و ناشناس بسیار مهم است. همچنین، استفاده از راهکارهای امنیتی مانند برنامه‌های آنتی‌ویروس و بروزرسانی منظم سیستم‌عامل اندروید نیز توصیه می‌شود تا به حفاظت از اطلاعات شخصی و حساس خود بپردازید.

 مراجع

چندین آسیب پذیری تزریق SQL در Gentoo Soko گزارش شده است که می تواند منجر به اجرای کد از راه دور (RCE) در سیستم های آسیب پذیر شود. تزریق های SQL، با وجود استفاده از یک کتابخانه شی رابطه ای (ORM) و گزارش های اعلام شده، اکسپلویت شدند و ممکن است به دلیل پیکربندی نادرست پایگاه داده، به اجرای کد از راه دور در Soko منجر شوند. این آسیب پذیری ها، پس از گذشت یک روز از گزارش آنها در 17 مارس 2023، مورد بررسی قرار گرفتند. Soko یک ماژول نرم افزار Go است که به packages.gentoo.org کمک می کند و روشی آسان برای جستجو در بسته های مختلف Portage که برای توزیع Linux Gentoo در دسترس هستند، به کاربران ارائه می دهد. آسیب پذیری های کشف شده در این سرویس، به مهاجم اجازه می دهد با تزریق کدهای ساختگی، اطلاعات حساس را در معرض دید قرار دهد. 
این آسیب پذیری که در قسمت جستجوی Soko کشف شد، با عنوان CVE-2023-28424 و امتیاز 9.1 ارزیابی شده است و بر عملکرد Search/Search Feed تاثیر می گذارد. دستکاری آرگومان q با یک ورودی نامعتبر، به آسیب پذیری تزریق SQL منجر می شود. از این رو، مهاجم تایید هویت نشده میتواند پرس و جوهای SQL را در https://packages.gentoo.org  جستجو کند. 
این آسیب پذیری در نسخه قبل از 1.0.2 با استفاده از عبارات آماده شده، برای وارد کردن  داده های کنترل شده توسط کاربر، در پرس وجوهای SQL کشف شد.
برای رفع این آسیب پذیری، توصیه می شود به نسخه 1.0.2 ارتقاء داده شود. همچنین، استفاده از patch این آسیب پذیری را رفع می کند. 
 منابع خبر

[2] https://nvd.nist.gov/vuln/detail/CVE-2023-28424

حدود 200000 وب سایت وردپرسی در معرض خطر حملات مداوم هستند که از یک آسیب پذیری امنیتی وصله نشده حیاتی در افزونه Ultimate Member سوء استفاده می کنند. این نقص که با شناسهCVE-2023-3460  و با امتیازCVSS: 9.8 ردیابی می‌شود بر تمام نسخه‌های افزونه Ultimate Member، از جمله آخرین نسخه آن (2.6.6) که در 29 ژوئن 2023 منتشر شد، تأثیر می‌گذارد.
Ultimate Member یک افزونه محبوب وردپرس است که ایجاد پروفایل‌های کاربر و انجمن ها را در سایت های وردپرس تسهیل می کند. همچنین ویژگی های مدیریت حساب را فراهم می کند. شرکت امنیتی وردپرس WPScan در هشداری گفت: "این یک مسئله بسیار جدی است: مهاجمان احراز هویت نشده ممکن است از این آسیب پذیری برای ایجاد حساب های کاربری جدید با امتیازات ادمین سوء‌استفاده کنند و به آنها قدرت کنترل کامل سایت های آسیب دیده را بدهند."
اگرچه جزئیات مربوط به این نقص به دلیل سوء‌استفاده فعال مخفی شده‌است، اما از منطق نامناسب لیست بلاک ناشی می‌شود که مهاجمان مقدار متای کاربرwp_capabilities، را برای تعریف نقش کاربری خود به عنوان مدیر تعیین می‌کنند و به مهاجمان دسترسی کامل به سایت آسیب‌پذیر را می‌دهد.
کلویی چمبرلند، محقق Wordfence، گفت: در حالی که این افزونه دارای یک لیست از پیش تعیین شده از کلیدهای ممنوعه است که کاربر نباید قادر‌به به‌روز‌رسانی آن باشد، روش‌های ساده‌ایی برای دور زدن فیلتر‌های قرار داده‌شده وجود دارد، مانند استفاده از موارد مختلف، اسلش‌ها و رمزگذاری کاراکتر‌ها در یک مقدار متا کلید ارائه شده در نسخه های آسیب پذیر افزونه. این مشکل پس از انتشار گزارش‌هایی مبنی بر اضافه شدن حساب‌های مدیران سرکش به سایت‌های آسیب‌دیده آشکار شد و نگه‌دارندگان افزونه را بر آن داشت تا اصلاحات جزئی را در نسخه‌های 2.6.4، 2.6.5 و 2.6.6 صادر کنند.
WPScan اشاره کرد که وصله‌ها ناقص هستند و روش‌های متعددی برای دور زدن آنها پیدا کرده است، به این معنی که این مشکل هنوز به طور فعال قابل بهره‌برداری است.در حملات مشاهده شده، از این نقص برای ثبت حساب‌های جدید تحت نام‌های apadmins، se_brutal، segs_brutal، wpadmins، wpengine_backup و wpenginer  برای آپلود افزونه‌ها و تم‌های مخرب از طریق پنل مدیریت سایت استفاده می‌شود.
به کاربران Ultimate Member توصیه می شود تا زمانی که یک وصله مناسب که حفره امنیتی را به طور کامل بر‌طرف می کند، افزونه را غیرفعال کنند. همچنین توصیه می‌شود همه کاربران سطح مدیر در وب‌سایت‌ها را بررسی کنند تا مشخص شود آیا حساب‌های غیرمجاز اضافه شده‌اند یا خیر.

نویسندگان Ultimate Member نسخه 2.6.7 این افزونه را در تاریخ 1 جولای منتشر کرده‌اند تا به نقص افزایش امتیاز که به طور فعال مورد سوء‌استفاده قرار گرفته‌است، رسیدگی کند. به عنوان یک اقدام امنیتی اضافی، آنها همچنین قصد دارند یک ویژگی جدید را در این افزونه ارسال کنند تا مدیران وب سایت بتوانند رمز‌عبور‌ها را برای همه کاربران بازنشانی کنند. نگهدارندگان در یک مشاوره مستقل گفتند: "ورژن 2.6.7 لیست سفید را برای کلیدهای متا معرفی می کند که هنگام ارسال فرم ها ذخیره می کنیم. همچنین داده های تنظیمات فرم و داده های ارسالی را جدا می کند و آنها را در 2 متغیر مختلف نگهداری می‌کند."
 
منابع

https://www.wordfence.com/blog/2023/06/psa-unpatched-critical-privilege-escalation-vulnerability-in…

عملیات باج‌افزار Akira از یک رمزگذار لینوکس برای رمزگذاری ماشین‌های مجازی VMware ESXi در حملات اخاذی مضاعف علیه شرکت‌ها در سراسر جهان استفاده می‌کند. Akira برای اولین بار در مارس 2023 ظهور کرد و سیستم‌های ویندوز را در صنایع مختلف از جمله آموزش، امور مالی، املاک و مستغلات، تولید و مشاوره هدف قرار داد.
مانند سایر باج‌افزارهایی که سازمان‌ها را هدف قرار می‌دهند، بازیگران تهدید داده‌ها را از شبکه‌های مورد رخنه به سرقت می‌برند و فایل‌ها را رمزگذاری می‌کنند تا از قربانیان، اخاذی مضاعف انجام دهند و خواهان پرداخت‌هایی تا چندین میلیون دلار هستند. 
نسخه لینوکس آکیرا اولین بار توسط تحلیلگر بدافزار به نام rivitna کشف شد که هفته گذشته نمونه‌ای از رمزگذار جدید را در VirusTotal به اشتراک گذاشت. تجزیه و تحلیل BleepingComputer از رمزگذار لینوکس نشان می‌دهد که نام پروژه Esxi_Build_Esxi6 است که نشان می‌دهد عوامل تهدید آن را به‌طور خاص برای هدف قرار دادن سرورهای VMware ESXi طراحی کرده‌اند. برای مثال یکی از فایل‌های کد منبع پروژه /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h است.
در چند سال گذشته، گروه‌های باج‌افزار به طور فزاینده‌ای رمزگذارهای لینوکس سفارشی را برای رمزگذاری سرورهای VMware ESXi ایجاد کرده‌اند، زیرا شرکت‌ها به دلیل  بهبود مدیریت دستگاه و استفاده کارآمد از منابع به سمت استفاده از سرورهای ماشین مجازی رفته‌اند. با هدف قرار دادن سرورهای ESXi، یک عامل تهدید می‌تواند بسیاری از سرورهایی را که به‌عنوان ماشین‌های مجازی در حال اجرا هستند، در یک اجرای رمزگذار باج‌افزار رمزگذاری کند.
با این حال، بر خلاف دیگر رمزگذارهای VMware ESXi که توسط BleepingComputer آنالیز می‌شوند، رمزگذارهای Akira دارای ویژگی‌های پیشرفته زیادی نیستند، مانند خاموش شدن خودکار ماشین‌های مجازی قبل از رمزگذاری فایل‌ها با استفاده از دستور esxcli.
p --encryption_path -)مسیرهای فایل/پوشه هدف)
)-s --share_file مسیر درایو شبکه هدف)
n --encryption_percent -(درصد رمزگذاری)
fork--)ایجاد فرآیند فرزند برای رمزگذاری)
پارامتر -n به ویژه قابل توجه است زیرا به مهاجمان اجازه می‌دهد تا تعیین کنند چه مقدار داده در هر فایل رمزگذاری شود. هرچه مقدار این پارامتر کمتر باشد، رمزگذاری سریع‌تر است، اما احتمال اینکه قربانیان بتوانند فایل‌های اصلی خود را بدون پرداخت باج بازیابی کنند، بیشتر می‌شود.

گسترش دامنه هدف‌گیری آکیرا در تعداد قربانیانی که اخیراً توسط این گروه اعلام‌ شده است، منعکس شده است که نشان دهنده شدیدتر شدن تهدید برای سازمان‌ها در سراسر جهان است. متأسفانه، افزودن پشتیبانی لینوکس یک روند رو به رشد در میان گروه‌های باج‌افزار است و بسیاری از آنها از ابزارهای در دسترس برای انجام آن استفاده می‌کنند، زیرا این یک راه آسان و تقریباً بی‌خطر برای افزایش سود است.
سایر عملیات‌های باج‌افزاری که از رمزگذارهای باج‌افزار لینوکس استفاده می‌کنند و بیشتر VMware ESXi را هدف قرار می‌دهند، عبارت‌اند از: Royal، Black Basta، LockBit، BlackMatter، AvosLocker، REvil، HelloKitty، RansomEXX و Hive.

منبع:

یک آسیب پذیری مهم در پلاگین miniOrange's Social Login and Register وردپرس اکسپلویت شده است که به مهاجم اجازه می دهد با تایید هویت غیر مجاز، بجای هر کاربری وارد شود و موجب افشای اطلاعات کاربران  شود. miniOrange یک پلاگین محبوب و ضروری وردپرس است که راه حل های امنیتی در اختیار صاحبان وب سایت قرار می دهد. همچنین، طیف وسیعی از ویژگی های امنیتی مانند تایید هویت و مدیریت کاربر را برای وب سایت های وردپرسی ارائه می کند و به کاربران این امکان را فراهم می کند تا با استفاده از اعتبار رسانه های اجتماعی خود از پلتفرم ها و ارائه دهندگان خدمات محبوب، وارد یک وب سایت وردپرسی شوند. این پلاگین در بیش از 30000 سایت استفاده می شود.
هدف این قابلیت ها، افزایش امنیت سایت های وردپرس با افزودن یک لایه حفاظتی اضافی، در برابر دسترسی های غیرمجاز است. 
این آسیب پذیری بحرانی با شناسه CVE-2023-2982 و امتیاز 9.8 ردیابی شده است. یک مهاجم تایید هویت نشده می تواند در صورت داشتن آدرس ایمیل، به حساب کاربری سایت دسترسی پیدا کند، حتی می تواند به حساب مدیر سایت هم دسترسی یابد. مشکل اصلی این آسیب پذیری در کلید رمزنگاری است. کلید رمزنگاری، برای امنیت اطلاعات در هنگام ورود به سیستم با استفاده از حساب های رسانه های اجتماعی استفاده می شود. رمزنگاری، یک لایه امنیتی اضافی برای محافظت در برابر دستکاری های غیرمجاز و تایید هویت غیرمجاز اضافه می کند. در نسخه های آسیب-پذیر این پلاگین، کلید رمزنگاری کد سختی دارد. از این رو، پلاگین را در معرض آسیب پذیری قرار می دهد. نکته قابل توجه دیگر این است که این کلید رمزنگاری شده در نصب های مختلف وردپرس یکسان باقی می-ماند و باعث می شود پلاگین در دسترس مهاجمان قرار گیرد. مهاجم می تواند یک درخواست معتبر با یک آدرس ایمیل رمزنگاری شده مناسب، برای شناسایی کاربر ایجاد کند. 
رفع آسیب پذیری bypass تایید هویت، علاوه بر حفظ امنیت وب سایت های آسیب پذیر، برای حفظ اطلاعات کاربران آنها نیز ضروری است.

پلاگین Social Login and Register وردپرس (Discord, Google, Twiteer, Linkedin) در برابر تایید هویت در نسخه های 7.6.4 آسیب پذیر است. بروزرسانی پلاگین به نسخه  7.6.5 این آسیب پذیری را رفع می-کند.
 منابع خبر

[2] https://vuldb.com/?id.232541