گزارش آسیب‌پذیری KerioConnect

تاریخ ایجاد

محققین امنیتی آسیب پذیری XSS (تزریق کد‌های مخرب جاوا اسکریپت ) در KerioConnect کشف کردند که امکان تصاحب اکانت صندوق پستی قربانی را برای فرد مهاجم فراهم میکند. KerioConnect یک میل سرور سازمانی و محصول کمپانی GFI است که توسط 30 هزار شرکت در سراسر جهان استفاده میشود. برای پلتفرم‌های ویندوز، لینوکس و مک قابل نصب و استفاده است. با توجه به اینکه نصب و پیکربندی و استفاده ساده‌ای دارد و همچنین هزینه آن در برابر محصولات مشابه خود به صرفه است اغلب توسط کسب و کارهای کوچیک مورد استفاده قرار میگیرد. .
آسیب پذیری در فرایند پردازش ضمیمه های HTML است که به فرد مهاجم اجازه میدهد با ارسال یک فایل HTML که در محتوای آن یک کد جاوا اسکریپت مخرب وجود دارد را تزریق و اجرا کند. در نهایت فرد مهاجم میتواند این آسیب پذیری را اکسپلویت کند و به فرد اجازه میدهد کنترل کامل صندوق پستی را در دست بگیرد.
همچنین فرد مهاجم میتواند درکد جاوا اسکریپت مخرب، رمز عبور برنامه شخص ثالث دلخواه را به حساب کاربری اضافه می کند، سپس می تواند برای دسترسی و مدیریت دائم صندوق پستی قربانی استفاده شود. اگر از این محصول استفاده می‌کنید برای اقدام پیشگیرانه توصیه شده استک که از باز کردن ضمائم بصورت فایل html خودداری کنید.

مرجع

https://ssd-disclosure.com/ssd-advisory-kerio-mailbox-takeover

انتشار به‌روزرسانی امنیتی VMware برای محصولات Workstation و Fusion

تاریخ ایجاد

VMware به‌روزرسانی‌هایی برای رفع چندین نقص امنیتی که بر روی نرم‌افزارهای Workstation و Fusion تأثیر می‌گذارد منتشر کرده است که می‌تواند به مهاجم محلی اجازه دهد تا کد مخرب را اجرا کند.
آسیب‌پذیری کشف شده مربوط به سرریز بافر مبتنی بر پشته بوده و با شناسه CVE-2023-20869 و شدت بحرانی 9.3 شناسایی شده است. نقص امنیتی مذکور می‌تواند توسط یک مهاجم محلی با سطح دسترسی مدیر، منجر به خواندن اطلاعات حساس موجود در حافظهhypervisor  شده و  از آن سوء استفاده کند.VMware همچنین دو نقص دیگر را برطرف کرده است که شامل یک نقص افزایش سطح دسترسی محلی با شناسه CVE-2023-20871 و امتیاز7.3 در محصول Fusion و یک آسیب‌پذیری خواندن/نوشتن خارج از محدوده در شبیه‌سازی دستگاه SCSI CD/DVD  با شناسه CVE-2023-20872 و امتیاز 7.7 می‌باشد. 
کارشناسان شرکت VMware اذعان داشتند مهاجم با دسترسی به ماشین مجازی که یک درایو فیزیکی CD/DVD متصل و پیکربندی شده جهت استفاده از یک کنترل‌کننده SCSI مجازی داشته باشد، ممکن است بتواند از این آسیب‌پذیری برای اجرای کد مخرب روی Hypervisor سوء استفاده کند.
به کاربران توصیه می‌شود نرم‌افزار Workstation را به نسخه 17.0.2 و Fusion را به نسخه 13.0.2 ارتقاء دهند. VMware به عنوان یک راه حل موقت برای آسیب‌پذیری‌های با شناسه CVE-2023-20869  و CVE-2023-20870 ،  پیشنهاد کرده است که کاربران، پشتیبانی بلوتوث را در ماشین مجازی خاموش کنند. جهت کاهش آسیب‌پذیری با شناسه CVE-2023-20872 نیز توصیه می‌شود دستگاه CD/DVD را از ماشین مجازی حذف کنید یا ماشین مجازی را طوری پیکربندی کنید که از کنترل‌کننده SCSI مجازی استفاده نکند.
منابع خبر

 

 

گزارش بدافزار Goldoson

تاریخ ایجاد

تیم تحقیقاتی موبایل McAfee یک بدافزار به صورت کتابخانه به نام Goldoson را کشف کرده است که فهرستی از برنامه‌های نصب شده و تاریخچه اطلاعات دستگاه‌های Wi-Fi و بلوتوث، از جمله مکان‌های GPS را جمع‌آوری می‌کند. این بدافزار با کلیک بر روی تبلیغات در پس‌زمینه، بدون رضایت کاربر، کلاهبرداری تبلیغاتی انجام دهد. این کتابخانه مخرب در 60 برنامه مورد استفاده قرار گرفته و بیش از 100 میلیون بار دانلود از طریق گوگل پلی و 8 میلیون بار از طریق ONE store در کره جنوبی داشته است.  برای مطالعه بیشتر اینجا کلیک نمایید.

 

آسیب پذیری شرکت vmware

تاریخ ایجاد

آسیب‌پذیری در Aria Operations for Logs محصولات VMware  گزارش شده است. شرکت Vmware از کاربران خواسته است هر چه سریعتر بروزرسانی را اعمال کنند. به‌روزرسانی‌ها و راه‌حل‌هایی برای رفع این آسیب‌پذیری‌ها در محصولات آسیب‌دیده VMware در دسترس هستند. ابزار VMware Aria Operations for Logs که قبلا با نام vRealize Log Insight بود، یک ابزار برای مدیریت لاگهای برنامه ها و زیرساخت ها در سازمان‌های  بزرگ است.
آسیب‌پذیری با شناسه CVE-2023-20864 و شدت بحرانی و امتیاز 9.8 در محصولات Vmware یافت شده‌است. این آسیب‌پذیری از نوع Deserialization است. به موجب این آسیب‌پذیری مهاجم بدون احراز هویت می‌تواند کد دلخواه خود را با امتیاز Root اجرا کند. آسیب‌پذیری با شناسه CVE-2023-20865 و شدت مهم و امتیاز 7.2 در محصولات Vmware یافت شده است. این آسیب‌پذیری از نوع Command Injection است. به موجب این آسیب‌پذیری مهاجم با امتیاز مدیریتی و دسترسی به VMware Aria Operations for Logs می‌تواند دستور دلخواه را با امتیاز Root اجرا کند.
نسخه های آسیب پذیر و اصلاح شده :

عکس

به کاربران توصیه می‌شود به سرعت اعمال به‌روزرسانی‌ها را برای کاهش تهدیدات احتمالی انجام دهند.

مراجع

 

 

انتشار بروزرسانی برای اولین آسیب‌پذیری روز صفر سال 2023 در مرورگر کروم

تاریخ ایجاد

مقدمه
گوگل یک به‌روزرسانی امنیتی اضطراری را برای رفع اولین آسیب‌پذیری روز صفر در مرورگر کروم که از ابتدای سال در حملات مورد سوء استفاده قرار گرفته است، منتشر کرده است.
جزئیات آسیب‌پذیری
این آسیب‌پذیری که با شناسه CVE-2023-2033 و درجه اهمیت بالا ردیابی می‌شود، توسط Clement Lecigne از گروه تحلیل تهدیدات گوگل (TAG) گزارش شده است و یک نقص Type confusion در موتور جاوااسکریپت کروم V8 است. در این آسیب‌پذیری، مهاجم از راه دور می‌تواند به طور بالقوه از تخریب حافظه heap از طریق یک صفحه HTML ساختگی، بهره‌برداری کند.
این نقص عموماً به مهاجمان اجازه می‌دهد تا با خواندن یا نوشتن حافظه خارج از محدوده بافر، مرورگر را پس از کار افتادن در نتیجه یک اکسپلویت موفقیت‌آمیز، مجدداً راه‌اندازی کنند، و از آن برای اجرای کد دلخواه در دستگاه‌های در معرض خطر سوء استفاده کنند.
محصولات تحت تأثیر
مرورگر گوگل کروم قبل از نسخه 112.0.5615.121 تحت تآثیر این آسیب‌پذیری قرار دارد.
توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسبت به بروزرسانی مرورگر خود به نسخه 112.0.5615.121 در سیستم‌های ویندوز، لینوکس و Mac اقدام نمایند. همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه می‌شود که به محض انتشار نسخه وصله شده آن را اعمال کنند. این بروزرسانی به کاربران کمک می‌کند که تا زمان انتشار جزئیات فنی این آسیب‌پذیری، حملات را مسدود کرده و مانع از توسعه اکسپویت‌های بیشتر مهاجمان شوند.
منابع خبر

 

[2] https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html

گزارش آسیب‌پذیری Wordpress_Essential Addons for Elementor

تاریخ ایجاد

محققین Patchstack یک آسیب‌پذیری با شناسه CVE-2023-32243 و شدت بحرانی در پلاگین وردپرس به نام Essential Addons for Elementor معرفی کردند. آسیب‌پذیری CVE-2023-32243 در این پلاگین، امکان افزایش امتیاز را به یک مهاجم بدون احرازهویت شده می‌دهد. مهاجم می‌تواند با ریست کردن پسورد هر کاربر، وارد اکانت آن شود. نکته دیگر آن است که مهاجم باید نام کاربری قربانی رو بداند و چنین مهاجم می‌تواند اکانت مدیر سایت را با این آسیب‌پذیری بدست آورد و کل سایت را در دست بگیرد. برای مطالعه بیشتر اینجا کلیک نمایید.

کشف آسیب‌پذیری سطح بالا در پلاگین های WordPress

تاریخ ایجاد

مقدمه
آسیب‌پذیری باشناسه CVE-2023-1124 در پلاگین‌های Wordpress با شدت بالا(7.2) منتشر شده است که به مهاجم اجازه خواندن فایل‌های درون سرور را میدهد.
جزئیات آسیب‌پذیری
این آسیب‌پذیری در پلاگین‌های Wordpress نسخه‌های قبل از 5.4.3 با شدت بالا(7.2) رخ داده است که شرایط حمله LFI(Local File Inclusion) را برای مهاجم فراهم می‌سازد و از طریق مرورگر مهاجم می‌تواند فایل‌ها را در سرور قرار دهد. این آسیب پذیری به علت عدم بررسی دقیق ورودی‌ها در وب‌سایت ایجاد شده که به مهاجم امکان دستکاری داده تا کاراکتر های پیمایش مسیر را وارد کند وفایل هایی را در سرور قرار دهد. 

Vector:  CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

محصولات تحت تأثیر
این آسیب‌پذیری اطلاعات موجود در وب سایت‌های طراحی شده با Wordpress را تحت تاثیرقرار می‌دهد.
توصیه‌های امنیتی
به کاربران توصیه می‌شود که پلاگینWordpress  نسخه های قبل از 5.4.3 را بروز رسانی کنند.

منابع خبر

[1]  https://nvd.nist.gov/vuln/detail/CVE-2023-1124

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1124

[3] https://vuldb.com/?id.224819

 

کشف آسیب پذیری در محصول DLINK

تاریخ ایجاد

مقدمه
آسیب‌پذیری‌هایی از برند D-link با شدت 8.8 (با شناسه‌های CVE-2022-43646 و CVE-2022-43647 و CVE-2022-43648) شناسایی شده است که مهاجم می‌تواند از این آسیب‌پذیری برای تزریق کد دلخواه سوء استفاده کند.
جزئیات آسیب‌پذیری
آسیب پذیری‌های مذکور در نسخه D-Link DIR-3040 1.20B03 routersو D-Link DIR-825 1.0.9/EE ،شناسایی شده است که مهاجم می‌تواند  بدون احراز هویت از این آسیب‌پذیری برای تزریق کد دلخواه سوء استفاده کند.

Vector:  CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

 توصیه‌های امنیتی 
استفاده از دستگاه جدید می تواند این مشکل را برطرف کند.
منبع خبر

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10319

کشف آسیب بذیری سطح بحرانی در برند IBM

تاریخ ایجاد

مقدمه
آسیب‌پذیری با شدت بحرانی درمحصولات شرکت IBM (IBM Aspera Cargo 4.2.5 Manager و IBM Aspera Connect 4.2.5) شناسایی شده است که شرایط سرریز بافر و اجرای کد دلخواه را توسط مهاجم فراهم می سازد .
جزئیات آسیب‌پذیری
در نرم‌افزار IBM Aspera Cargo 4.2.5 Manager و IBM Aspera Connect4.2.5 اعمال ورودی ناشناخته منجر به آسیب‌پذیری سرریز بافر می‌شود ،این نرم افزار یک بافر ورودی را به بافر خروجی کپی می‌کند بدون اینکه تایید کند که اندازه بافر ورودی کم‌تر از اندازه بافر خروجی است ودر نتیجه منجر به سرریز بافر می‌شود و همچنین شرایط ورود کد دلخواه را برای مهاجم فراهم می‌سازد .
Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
شناسه آسیب پذیری : CVE-2023-27286  (شدت آسیب: 9.8 بحرانی)

محصولات تحت تأثیر
این آسیب پذیری نرم افزار های نرم افزار IBM Aspera Cargo 4.2.5 Manager   و  IBM Aspera Connect4.2.5 را مورد هدف قرار داده است .
توصیه‌های امنیتی 
ارتقا نسخه‌ نرم افزار IBM Aspera Cargo 4.2.5 Manager   و  IBM Aspera Connect4.2.5  باعث برطرف شدن این آسیب می شود. 

 منابع خبر

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27286

کشف آسیب‌پذیری سطح بحرانی در چاپگرهای HP

تاریخ ایجاد

آسیب‌پذیری باشناسه CVE-2023-1707 در چاپگرهای HP با شدت بحرانی(9.1) اخیراً شناسایی شده است که بهره‌برداری از آن شرایط افشای اطلاعات را فراهم می‌سازد. این آسیب‌پذیری مدل‌های HP Enterprise LaserJet و HP LaserJet Managed Printers تحت تاثیر قرار داده است که به طور بالقوه منجر به افشای اطلاعات می‌گردد. طی اعلام شرکت HP  برای اصلاح و رفع این آسیب‌پذیری که با شدت بحرانی بر فریمور چاپگرهای این شرکت تاثیر گذاشته است 90 روز زمان نیاز است.

جهت بهره‌برداری از این آسیب‌پذیری در دستگاه‌های آسیب‌پذیر باید فریمور FutureSmart نسخه 5.6 را اجرا نموده و IPsec فعال شود بنابراین، علی‌رغم امتیاز بالای این آسیب‌پذیری، خوشبختانه زمینه بهره‌برداری از آن محدود است. پروتکل IPsec یک مجموعه پروتکل امنیتی شبکه IP است که در شبکه‌های سازمانی استفاده می‌شود. 

به کاربران توصیه می‌شود که تا زمان رفع این آسیب، از دستگاه‌های دیگری استفاده نمایند. 

منابع خبر