محققان Threatmon یک حمله بدافزاری هدفمند از نوع درب پشتی و با استفاده از PowerShell را از گروه جاسوسی APT41 شناسایی کردند که قادر است انواع روشهای شناسایی‌ را دور بزند و به مهاجمان اجازه دهد در سیستم‌عامل ویندوز قربانی، دستوراتی را اجرا ، فایل‌ دانلود یا آپلود کنند و اطلاعات حساس را جمع‌آوری کنند. برای مطالعه بیشتر اینجا کلیک نمایید.

آسیب‌پذیری با شناسه CVE-2023-29489 در cPanel که یک نرم افزار کنترل پنل میزبانی وب (web hosting control panel) است و به طور گسترده در سراسر اینترنت مستقر شده، شناسایی شده است. این آسیب‌پذیری امکان اجرای XSS رفلکتت (reflected cross-site scripting) را بدون هیچ گونه احراز هویت در نسخه‌های آسیب‌دیده cPanel فراهم می‌سازد. آسیب‌پذیری XSS صرف نظر از اینکه پورت‌های مدیریت (2080، 2082، 2083، 2086 و ...) cPanel به صورت خارجی در معرض دید قرار می‌گیرند یا خیر، قابل بهره‌برداری است. وب سایت‌های موجود در پورت 80 و 443 نیز در صورت استفاده از cPanel در برابر XSS آسیب‌پذیر هستند و دسترسی به دایرکتوری /cpanelwebcall/ در این پورت‌ها (80 و 443) امکان‌پذیر است زیرا توسط آپاچی به پورت‌های مدیریت cPanel پروکسی می‌شود. به همین دلیل، یک مهاجم نه تنها می‌تواند به پورت‌های مدیریت cPanel، بلکه به برنامه‌هایی که روی پورت‌های 80 و 443 در حال اجرا هستند نیز حمله کند. با توجه به این که پورت‌های مدیریت cPanel در برابر این حمله آسیب‌پذیر هستند، یک مهاجم می‌تواند از این آسیب‌پذیری برای ربودن نشست  cPanel یک کاربر احرازهویت شده استفاده کند.
پس از اسکن و بررسی پورت‌های باز وب سرور (WebHost Manager (WHM)) نظیر 2080، 2082، 2083، 2086 و ... در صورت اجرای پیلودها می‌توان از این آسیب‌پذیری بهره‌برداری نمود.

سامانه‌ها/خدمات تحت تأثیر
این آسیب‌پذیری cPanel نسخه‌های قبل از 11.109.9999.116 را تحت تأثیر قرار می‌دهد.
روش برطرف سازی
نسخه‌های آسیب‌پذیر به‌روزرسانی و همچنین به‌روزرسانی خودکار فعال شود.
منابع خبر

[1]    https://nvd.nist.gov/vuln/detail/CVE-2023-29489
[2]    https://blog.assetnote.io/2023/04/26/xss-million-websites-cpanel/

آسیب‌پذیری با شناسه CVE-2023-28771 و امتیاز (9.8) در Zyxel Firewall کشف شده است. شرکت سازنده تجهیزات شبکه Zyxel، وصله‌هایی را برای یک نقص امنیتی مهم در دستگاه فایروال خود منتشر کرده است، که می‌تواند برای اجرای کد از راه دور در سیستم‌های آسیب‌پذیر مورد استفاده قرار گیرد. مدیریت نادرست پیام خطا در برخی از نسخه‌های فایروال می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا با ارسال بسته‌های دستکاری شده به دستگاه آسیب‌پذیر، برخی از دستورات سیستم عامل را از راه دور اجرا کند.
محصولاتی مانند ATP (نسخه‌های ZLD V4.60 تا V5.35، وصله شده در ZLD 5.36 )، USG FLEX (نسخه‌های ZLD V4.60 تا V5.35، وصله شده در  ZLD 5.36 )، VPN (نسخه‌های ZLD V4.60 تا V5.35، وصله شده در ZLD 5.36)، ZyWALL/USG (نسخه‌های ZLD V4.60 تاV4.73 ، وصله شده در ZLD V4.73 Patch1 ) تحت تاثیر این آسیب‌پذیری هستند.
منابع خبر

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28771

یک آسیب‌پذیری با شناسه CVE-2023-29552 و امتیاز (8.6) در پروتکل موقعیت مکانی سرویس (SLP) کشف شده است که می‌تواند حملات حجمی انکار سرویس (DoS) علیه اهداف انجام دهد. پروتکل موقعیت مکانی، چارچوب مقیاس پذیری را برای کشف و انتخاب سرویس های شبکه فراهم می کند. با استفاده از این پروتکل، رایانه‌هایی که از اینترنت استفاده می‌کنند، دیگر نیازی به پیکربندی ثابت خدمات شبکه، برای برنامه های کاربردی مبتنی بر شبکه ندارند .در این صورت، رایانه‌ها قابل حمل‌تر می‌شوند و قادر به برآورده کردن خواسته‌های مدیریت سیستم شبکه هستند. پروتکل به عنوان یک دفترچه آدرس برای خدمات داخلی در شبکه ها در نظر گرفته شده است. مهاجمانی که از این آسیب‌پذیری سوء استفاده می‌کنند، می‌توانند از نمونه‌های آسیب‌پذیر برای راه‌اندازی حملات انکار سرویس (DoS) گسترده با ضریب 2200 برابر استفاده کنند که به طور بالقوه آن را به یکی از بزرگترین حملات تقویت‌کننده‌ای تبدیل می‌کند که تاکنون گزارش شده است.این آسیب‌پذیری با شدت بالا، به مهاجم غیر قانونی و از راه دور اجازه می‌دهد تا سرویس‌های دلخواه خود را ثبت کند و آنها را قادر می‌سازد تا از طریق ترافیک جعلی UDP، باعث انکار سرویس (DoS) با ضریب تقویت قابل توجهی شوند. 
 محصولات تحت تأثیر
 این آسیب‌پذیری بیش از 2000 سازمان جهانی و بیش از54000 نمونه SLP را که از طریق اینترنت در دسترس هستند، شامل VMWare ESXi Hypervisor، پرینترهای KonicaMinolta، روترهای Planex، ماژول یکپارچه SMC IPMI، IBM(IMM) و665  نوع محصول دیگر را تحت تاثیر قرار می‌دهد.
توصیه‌های امنیتی
 VMware با بررسی این آسیب‌پذیری، مشخص کرده است که نسخه‌های ESXi که در حال حاضر پشتیبانی می‌شوند (خطوط ESXi 7.x ,8.x ) تحت تأثیر قرار نمی‌گیرند و این آسیب‌پذیری نسخه‌های قدیمی‌تری، که به پایان پشتیبانی عمومی (EoGS) رسیده‌اند را تحت تاثیر قرار می‌دهد. VMware  توصیه می‌کند که بهترین گزینه برای رسیدگی بهCVE-2023-29552 ، ارتقا به یک خط انتشار پشتیبانی‌شده است که تحت تأثیر آسیب‌پذیری قرار نگیرد .مدیران ESXi باید اطمینان حاصل کنند که هاست ESXi آنها در معرض شبکه های نامعتبر قرار نگرفته و همچنین SLP را طبق دستورالعمل های KB76372 غیرفعال کنند.
منابع خبر

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-29552
[2] https://access.redhat.com/security/cve/CVE-2023-29552
[3] https://www.cve.org/CVERecord?id=CVE-2023-29552

مایکروسافت هشداری برای آسیب‌پذیری با شناسه CVE-2023-21554 و دارای شدت بحرانی (امتیاز 9.8) معرفی کرده است. این ضعف امنیتی سازوکار Queuing را درMicrosoft Message  تحت تاثیر قرار می‌دهد. برای سوءاستفاده از این آسیب‌پذیری، مهاجم باید Packet دستکاری شده MSMQ را به سرور MSMQ ارسال کند که منجر به اجرای کد مخرب از راه دور در سمت سرور می‌شود. کاربرانی که می‌خواهند بدانند که آیا هدف سوءاستفاده از این آسیب‌پذیری قرار گرفته‌اند، می‌توانند بررسی کنند که آیا سرویس Message Queuing در سیستم آنها فعال است و یا ترافیک شبکه از طریق پورت TCP 1801 در حال شنود است.

 این سرویس  روی پورت 1801 فعال است که می‌توانید مسدود کنید تا جلوی حمله گرفته شود اما چون این کار احتمال اختلال در برنامه ها رو دارد ، توصیه شده تا بروزرسانی را اعمال کنید.

مرجع

محققان شاهد افزایش حملات در پی گسترش ابزار سرقت اطلاعات EvilExtractor هستند که برای سرقت اطلاعات حساس کاربران استفاده می شود. در حالی که به عنوان یک ابزار قانونی به بازار عرضه می شود، شرکت Fortinet نیز در گزارشی اعلام کرده است که مجرمان سایبری از EvilExtractor به عنوان یک بدافزار سرقت اطلاعات استفاده می کنند. EvilExtractor  که از ۲۲ اکتبر ۲۰۲۲ توسط کاربری به نام Kodex در انجمن‌های جرایم سایبری مانند  Cracked به فروش می‌رسد. این بدافزار مدام به‌روزرسانی شده و دارای ماژول‌های گوناگونی برای استخراج فراداده‌های سیستم، رمزعبورها و کوکی‌های چندین مرورگر وب و همچنین ثبت کردن ضربه کلیدها و حتی عمل کردن به‌عنوان یک باج‌افزار از طریق رمزگذاری فایل‌های سیستم هدف می‌باشد. همچنین فورتی‌نت گفته است این بدافزار به‌عنوان بخشی از یک کارزار فیشینگ ایمیل استفاده شده که در ۳۰ مارس ۲۰۲۳ شناسایی شده است. ایمیل‌های این کارزار، گیرنده را فریب می‌دهند تا یک فایل اجرایی را که در قالب یک سند PDF مخفی شده است به‌بهانه‌ی تأیید جزئیات حساب‌شان اجرا کند. باینری Account-info.exe یک برنامه‌ی پایتون مبهم است که به‌گونه‌ای طراحی شده که یک بارگذار .NET  را اجرا کند که از اسکریپت Base64-encoded PowerShell برای اجرای EvilExtractor استفاده می‌کند. این بدافزار علاوه بر جمع‌آوری فایل‌ها می‌تواند وبکم را نیز فعال کند و اسکرین‌شات بگیرد. همچنین ذکر شده است که EvilExtractor  به‌عنوان یک سارق اطلاعات جامع با ویژگی‌های مخرب متعدد، از جمله قابلیت‌های باج‌افزاری، استفاده می‌شود. اسکریپت PowerShell آن می‌تواند درقالب بارگذار .NET یا PyArmor از شناسایی گذر کند. در مدت زمانی اندک، سازنده‌ی آن چندین عملکرد را به‌روزرسانی کرده و پایداری آن را افزایش داده است. این یافته‌ها درحالی است که واحد مقابله با تهدید Secureworks جزئیات یک کارزار تبلیغ بدافزار و مسموم سازی سئو برای انتشار بدافزار Bumblebee، از طریق فایل‌های نصب تروجان ‌شده‌ی نرم‌افزارهای قانونی را منتشر کرده است.
Bumblebee  اولین بار توسط گروه تحلیل تهدید گوگل و Proofpoint ثبت شد، یک بارگذار ماژولی است که عمدتاً از طریق تکنیک‌های فیشینگ منتشر می‌شود. حدس زده می‌شود می‌شود عاملانی مرتبط به عملیات باج‌افزاری Conti آن را به‌عنوان جایگزینی برای BazarLoader تولید کرده‌اند. در ماه‌های اخیر، پس از اینکه مایکروسافت Macroها را به‌صورت پیشفرض از فایل‌های Office دانلودشده از اینترنت مسدود کرد، استفاده از مسموم‌سازی سئو و تبلیغات مخرب برای هدایت کاربرانی که ابزارهای محبوبی مانند ChatGPT، Cisco AnyConnect، Citrix Workspace و Zoom را جستجو می‌کنند به وبسایت‌های غیرمجاز حاوی فایل‌های نصب آلوده افزایشی شدید داشته است.
در یک رویداد که این شرکت امنیت سایبری تشریح کرده است، عامل تهدید از بدافزار Bumblebee برای کسب نقطه‌ی ورود و پس از سه ساعت حرکت جانبی و پیاده‌سازی Cobalt Strike و نرم‌افزارهای قانونی دسترسی از راه دوری مانند AnyDesk و Dameware استفاده کرده است. این حمله درنهایت پیش از اینکه به مرحله‌ی نهایی باج‌افزار برسد مختل شد. به‌گفته‌ی Secureworksتوصیه شده است که به‌منظور تعدیل این حمله و حملات مشابه، سازمان‌ها باید اطمینان حاصل کنند که فایل‌های نصب نرم‌افزارها و آپدیت‌ها تنها از وبسایت‌های شناخته‌شده و قابل‌اعتماد دانلود شوند. کاربران نباید امتیاز نصب نرم‌افزار و اجرای اسکریپت‌ها روی کامپیوتر خود داشته باشند.

مراجع

https://www.bleepingcomputer.com/news/security/evilextractor-malware-activity-spikes-in-europe-and-the-us/

https://www.fortinet.com/blog/threat-research/evil-extractor-all-in-one-stealer

سیسکو آسیب‌پذیری روز صفر را در نرم‌افزار Prime Collaboration Deployment (PCD) این شرکت گزارش داده است که می‌تواند برای حملات اسکریپت بین سایتی، مورد سوء استفاده قرار گیرد. این ابزار مدیریت سرور، مدیران را قادر می‌سازد تا ارتقاء را بر روی سرورهای موجود در سازمان خود انجام دهند.
مهاجمان احراز هویت نشده با بهره‌برداری موفقیت‌آمیز می‌توانند حملات اسکریپت بین سایتی را از راه دور انجام دهند، اما نیاز به تعامل کاربر دارد. همچنین شرکت سیسکو توضیح داده است که این آسیب پذیری به دلیل است که رابط مدیریت مبتنی بر وب، ورودی های ارائه شده توسط کاربر را به درستی تایید نمی کند.  مهاجم می تواند با متقاعد کردن کاربر، با کلیک بر روی یک پیوند ساخته شده از این آسیب پذیری سوء استفاده کند.
در نهایت یک اکسپلویت موفق می تواند به مهاجم اجازه دهد تا کد اسکریپت دلخواه را در زمینه رابط آسیب دیده اجرا کند یا به اطلاعات حساس و مبتنی بر مرورگر دسترسی پیدا کند. سیسکو به‌روزرسانی‌های امنیتی را برای ماه آینده منتشر خواهد کرد و در حال حاضر هیچ راه حلی برای جلوگیری از حمله در دسترس نیست.
مراجع
 

https://www.bleepingcomputer.com/news/security/cisco-discloses-xss-zero-day-flaw-in-server-management-tool/

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pcd-xss-jDXpjm7

آسیب‌پذیری با شناسه CVE-2023-27524 با شدت بالا و امتیاز 8.9 در محصولات Apache Superset یافت شده است. Superset  روی پایتون و فریمورک Flask توسعه داده شده است. یکی از روشهای رایج در برنامه های Flask  برای مدیریت وضعیت کاربر، استفاده از کوکی های جلسه امضاء و رمزنگاری شده است. وقتی یک کاربر به سایت لاگین را انجام می‌دهد، برنامه یک کوکی جلسه (session cookie)، که شامل شناسه کاربر است به مروگر آن ارسال می‌کند. برنامه وب، این کوکی را با SECRET_KEY امضاء میکند، که یک مقدار تصادفی است و در یک فایل پیکربندی محلی ذخیره می‌شود. مرورگر با هر درخواست وب ، این کوکی جلسه را به برنامه وب می فرستد و برنامه، قبل از پردازش درخواست و با بررسی ان در هر درخواست، کاربر را مجددا احرازهویت می‌کند.
در حقیقت امنیت برنامه وب، بستگی به مخفی بودن SECRET_KEY دارد. اگر SECRET_KEY فاش شود، مهاجم میتواند کوکی خود را بسازد و کارهایی که برای کاربر با امتیاز بالا در نظر گرفته شده را انجام دهد. یک ابزار بنام Flask Unsign برای هک این موارد توسعه داده شده است، این ابزار  برای جمع آوری، رمزگشایی کردن، بروت فورس و ساخت کوکی های جلسه برنامه های فلسک با حدس زدن SECRET_KEY  توسعه داده شده است.
اگر سرور Superset در پشت یک SSO قرار نگرفته باشد، مهاجم میتواند با استفاده از ابزار flask-unsign مقدار user_id یا _user_id رو به مقدار 1 تغییر بدهد و یه کوکی جعلی بسازد و درنهایت بعنوان ادمین وارد سیستم شود. مقدار 1 نشان دهنده اولین کاربر Superset است که اغلب همون مدیر محسوب میشود. مهاجم، کوکی جعلی رو میتواند در local storage مرورگر خود تنظیم کند و با Refresh کردن صفحه، ادمین محسوب شود. برای سرورهایی که پشت SSO قرار دارند، مهاجم نیاز به کارهای بیشتر دارد تا بتواند user_id را بدست آورد.
همانطور که بیان شد Superset ، برای مصورسازی و کاوش روی داده طراحی شده است. بنابراین اگر یک مهاجم بعنوان ادمین وارد شود، میتواند این داده ها را تغییر یا حذف کند. به طور پیش فرض، دسترسی اتصالات دیتابیس ها بصورت فقط خواندنی است، اما مهاجم با امتیاز مدیر، میتواند دسترسی نوشتن یا DML را هم فعال کند. رابط SQL Lab این امکان را برای مهاجم فراهم میکند تا دستورات دلخواه SQL را روی دیتابیس اجرا کند. بسته به امتیاز کاربر دیتابیس، مهاجم علاوه بر خواندن داده ها، دستکاری یا حذف آنها ، میتواند روی سرور دیتابیس، کد دلخواه خود را اجرا کند.
راههای اصلاح:
در بین 2000 سرور آسیب پذیر، شرکتهای بزرگ، کوچک، سازمانهای دولتی و دانشگاهها وجود دارند. محققان برای برخی از آنها، هشدارهایی را صادر کردند، که بعد از مدت کوتاهی، پیکربندی را اصلاح کردند.
همچنین بیان شده است اگر از Superset استفاده میکنید، می‌توانید با اسکریپت زیر، آسیب پذیر بودن را بررسی کنید. اسکریپت با استفاده از ابزار flask-unsign و کلیدهای پیش فرض این موضوع را بررسی میکند.
 

% python3 CVE-2023-27524.py -h                           

usage: CVE-2023-27524.py [-h] --url URL [--id ID] [--validate] [--timeout TIMEOUT]

 optional arguments:

  -h, --help                    show this help message and exit

  --url URL, -u URL     Base URL of Superset instance

  --id ID                        User ID to forge session cookie for, default=1

  --validate, -v              Validate login

  --timeout TIMEOUT, -t TIMEOUT

  Time to wait before using forged session cookie, default=5s

اگر اسکریپت نشان دهد که آسیب پذیر هستید و سرور از طریق اینترنت قابل دسترسی است، هر چه سریعتر ان را اصلاح کنید یا از معرض دیده شدن از طریق اینترنت جلوگیری کنید.

مراجع

https://www.horizon3.ai/cve-2023-27524-insecure-default-configuration-in-apache-superset-leads-to-remote-code-execution/

https://github.com/horizon3ai/CVE-2023-27524

https://nvd.nist.gov/vuln/detail/CVE-2023-27524

سازمان‌های امنیتی ایالات متحده و بریتانیا به‌تازگی از آسیب‌پذیری روترهای سیسکو در مقابل یک بدافزار روسی خبر داده‌اند. البته تنها روترهای قدیمی با فریمور به‌روزرسانی‌نشده در معرض خطر قرار دارند؛ درنتیجه نیازی به نگرانی برای همه دارندگان محصولات این شرکت وجود ندارد.
طبق اطلاعیه منتشرشده توسط مرکز ملی امنیت سایبری بریتانیا (NCSS) و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، گروه APT28 اقدام به ساخت بدافزاری با نام «دندان جگوار» کرده‌اند که می‌تواند اطلاعات حساس را از روترها سرقت کند و امکان دسترسی غیرمجاز به هکرها بدهد. گفته شده است که گروه مذکور، وابسته به دولت روسیه است و زیر نظر اداره اصلی اطلاعات این کشور فعالیت دارد. شایان ذکر است که دیگر سازمان‌های امنیتی آمریکا مثل NSA و FBI نیز در تنظیم این گزارش نقش داشته‌اند.
براساس گزارش BleepingComputer، هکرهای روسی، اقدام به اسکن‌کردن روترهای عمومی جهت یافتن روترهای سیسکو می‌کنند. در ادامه پس از یافتن هدف خود، اقدام به بررسی اکسپلویت CVE-2017-6742 می‌کنند که یک آسیب‌پذیری با عمر 6 سال است و امکان اجرای از راه دور کدها را فراهم می‌سازد. همین مسئله موجب می‌شود تا بدافزار دندان جگوار، به‌صورت مستقیم روی حافظه دستگاه قابل‌نصب باشد.
روترهای سری IOS سیسکو که از فریمور C5350-ISM نسخه ۱۲.۳.۶ استفاده می‌کنند، در مقابل بدافزار اشاره‌شده، آسیب‌پذیرند. این بدافزار می‌تواند در کنار جمع‌آوری داده‌ها، به دسترسی غیرمجاز هکر به روتر کمک کند. برای حل این مشکل، مدیران سیستم باید برای به‌روزرسانی فوری فریمور روترها اقدام کنند. همچنین توصیه شده است تا قابلیت‌های SNMP v2 و Telnet غیرفعال شوند.
بکدور بدون احرازهویت:
بدافزار با دستکاری فرایند احراز هویت از طریق تغییر ask_md5secret و askpassword باعث میشود که همیشه مقدار True رو برگردانند و در نتیجه مهاجم بدون احراز هویت به اکانتهای محلی که برای دسترسی از طریق Telnet یا دسترسی فیزیکی ایجاد شدن ، دسترسی خواهد داشت.
استخراج اطلاعات دستگاه:
بدافزار از طریق دستورات CLI زیر اقدام به جمع آوری اطلاعات دستگاه میکند :

این بدافزار از شکل کوتاه شده دستورات استفاده میکند و بعد از استخراج از طریق دستور r و TFTP اونها را انتقال میدهد :

اکسپلویت SNMP:

بدافزار برای استقرار از یک آسیب پذیری به شناسه CVE-2017-6742 که از نوع Stack buffer overflow است استفاده میکند ، که منجر به اجرای کد از راه دور میشود. 

OID یک مقدار Object Identifier است که معمولا برای مشخص کردن دستگاه و وضعیت ان استفاده میشود. بطور خلاصه میشه گفت که هر دستگاه، OID منحصر به فرد خودش داره و میشه با اون شناسه عملکرد و وضعیت دستگاه رو بررسی کرد.
 این بدافزار از OID زیر استفاده میکنه:

1.3.6.1.4.1.9.9.95.1.2.4.1.3

عدد 1 : مشخص کننده ISO است. 
عدد 3: مشخص کننده ORG است. این مشخص کننده سازمان تولیدکننده دستگاه است.
عدد 6: مشخص کننده dod  یا Department of Defense است. اولین سازمان ایجاد کننده اینترنت است
عدد 1: مشخص کننده اینترنت است. یعنی تمام ارتباطات از طریق اینترنت است.
عدد 4: مشخص کننده این است که این دستگاه توسط بخش خصوصی تولید شده است.
عدد1: مشخص میکند که سازمان سازنده دستگاه یک شرکت تجاری است.
6 تا عدد اول تقریبا برای همه دستگاهها یکی است. در ادامه هم جزییات محصولات و ساختارهای اون مشخص میشود.
شماره 9: مشخص کننده نام شرکت سازنده است که عدد 9 برای سیسکو است. یعنی با یه دستگاه سیسکویی روبرو است.
عدد 9: نوع دستگاه رو مشخص میکند که در اینجا CiscoMgmt است.
عدد 95: مشخص کننده ciscoAlpsMIB  است
عدد 1: مشخص کننده ciscoAlpsMIBObjects است
عدد 2: مشخص کننده  alpsPeerObjects است
عدد 4: مشخص کننده alpsRemPeerConnTable است
عدد 1: مشخص کننده alpsRemPeerConnEntry است
عدد 3: مشخص کننده alpsRemPeerConnLocalPort است.
اکسپلویت:
آسیب پذیری در (k_alpsRemPeerConnEntry_get (0x60E72178 است که قسمتی از AirLine Protocol Support (ALPS) است. وقتی یک OID طولانی به این بخش ارسال بشود، منجر به سریز و مهاجم می‌تواند کنترل EIP رو به دست بگیرد.
اکسپلویت کامل آن شبیه کد زیر است :

مراجع

آسیب‌پذیری با شناسه CVE-2023-20154 و شدت بحرانی و امتیاز 9.1 در محصولات سیسکو یافت شده‌است. به موجب این آسیب‌پذیری مهاجم احراز هویت‌نشده امکان دسترسی به رابط مدیریتی وب با امتیاز مدیریتی را خواهد داشت. یک مهاجم می‌تواند با ورود به رابط وب سرور آسیب‌دیده از این آسیب‌پذیری سوء‌استفاده کند. تحت شرایط خاص، مکانیسم احراز هویت دور زده می‌شود و مهاجم به‌عنوان مدیر وارد می‌شود و یک اکسپلویت موفق می‌تواند به مهاجم اجازه دهد تا امتیازات مدیریتی در رابط وب سرور آسیب‌دیده، از جمله توانایی دسترسی و اصلاح هر شبیه‌سازی و همه داده‌های ایجاد شده توسط کاربر را به دست آورد.
مهاجم احراز هویت‌نشده برای اکسپلویت نیاز به اعتبارنامه های معتبر کاربران ذخیره شده‌، در سرور احرازهویت‌کننده خارجی مربوطه دارد. سیسکو به روز‌رسانی های نرم‌افزاری را منتشر کرده است که این آسیب‌پذیری را برطرف می‌کند.
محصولات زیر چنانچه با احرازهویت LDAP پیکربندی شده باشند تحت تاثیر این آسیب پذیری قرار می‌گیرند:

از طریق مسیری که در پایین گفته شده می توان احرازهویت LDAP پیکربندی شده را مشاهده کرد:

نسخه های اصلاح شده:
 

آسیب‌پذیری با شناسه CVE-2023-20046 و شدت بالا و امتیاز 8.8  در محصولات سیسکو یافت شده است. این آسیب پذیری در ویژگی احرازهویت SSH مبتنی بر کلید در محصول Cisco StarOS Software است. به موجب این آسیب پذیری مهاجم احرازهویت شده با ارسال یک کلید SSH معتبر اما با امتیاز پایین از هاستی که IP آن برای یک اکانت با امتیاز بالا است و بعنوان مبدا (source ) پیکربندی شده است میتواند این آسیب پذیری را اکسپلویت و افزایش امتیاز دهد. یک اکسپلویت موفق می تواند به مهاجم اجازه دهد تا از طریق SSH به عنوان یک کاربر با امتیاز بالا وارد دستگاه آسیب دیده شود.
محصولات سیسکو که از نسخه آسیب پذیر Cisco StarOS Software استفاده و برای احراز هویت از SSH مبتنی بر کلید استفاده میکنند، در زیر لحاظ شده است.

برای پیدا کردن دستگاه آسیب‌پذیر می‌توان از دستور authorized-key در server sshd استفاده کرد. اگه نتایج حاوی دو یا چند نمونه IP مشابه برای پارامتر host بود، دستگاه آسیب پذیراست.  در مثال زیر نمونه ای لحاظ شده است:

سیسکو اعلام کرد که برای این آسیب پذیری یک PoC منتشر شده است.
آسیب‌پذیری با شناسه CVE-2023-20036 و شدت بحرانی و امتیاز 9.9  در محصولات سیسکو یافت شده است. این آسیب‌پذیری از نوع  Command Injection و در web UI محصول Cisco Industrial Network Director است. یک مهاجم می‌تواند با تغییر درخواستی که هنگام آپلود یک بسته به دستگاه ارسال می‌شود، از این آسیب‌پذیری سوء استفاده کند.
به طور دقیق‌تر مهاجم احراز هویت شده می تواند با دستکاری درخواست هنگام آپلود Device Pack این آسیب پذیری را اکسپلویت  کند و همچنین دستور دلخواه با امتیاز NT AUTHORITY\SYSTEM در سیستم عامل زیربنایی دستگاه اجرا کند. این آسیب‌پذیری به دلیل اعتبارسنجی نامناسب ورودی هنگام آپلود Device Pack است.
نسخه های اصلاح شده:
 

آسیب‌پذیری با شناسه CVE-2023-20125 و شدت بالا و امتیاز 8.6  در محصولات سیسکو یافت شده است. این آسیب‌پذیری در محصول Cisco BroadWorks Network Server است. به موجب این آسیب‌پذیری مهاجم بدون احراز هویت و از راه دور می‌تو‌اند می تواند با ارسال نرخ بالای اتصالات TCP به سرور از این آسیب پذیری سوء استفاده کند. به طور دقیق‌تر مهاجم بدون احراز هویت می‌تو‌اند با ایجاد اتصالات TCP زیاد حمله DoS پیاده کند.
سیسکو تایید کرده است که این آسیب پذیری‌، محصولات سیسکو زیر را تحت تاثیر قرار نمی دهد:

 

•    BroadWorks Ansible Playbook

•    BroadWorks Application Delivery Platform

•    BroadWorks Application Server

•    BroadWorks Database Server

•    BroadWorks Database Troubleshooting Server

•    BroadWorks Execution Server

•    BroadWorks Media Server

•    BroadWorks Messaging Server

•    BroadWorks Network Database Server

•    BroadWorks Network Function Manager

•    BroadWorks Profile Server

•    BroadWorks Service Control Function Server

•    BroadWorks Service License Report Tool

•    BroadWorks Sharing Server

•    BroadWorks Software Manager

•    BroadWorks Video Server

•    BroadWorks WebRTC Server

•    BroadWorks Xtended Services Platform

•    BroadWorks pre-Install Check

نسخه های اصلاح شده:
 

مراجع