مقدمه
اخیرا برای ابزار Wireshark که یک محصول  پرکاربرد در زمینه‌ی تحلیل شبکه می‌باشد، به‌روزسانی امنیتی منتشر شده است. در این به‌روزرسانی چندین آسیب‌پذیری مهم رفع شده‌اند.
جزئیات آسیب‌پذیری
با انتشار نسخه‌ی 3.6.8 برای ابزار Wireshark که یک ابزار قدرتمند در تحلیل و آنالیز ترافیک و پروتکل‌های شبکه بشمار می‌آید، چندین ویژگی جدید نیز به برنامه اضافه شده است. شایان ذکر است که این ابزار توسط طیف گسترده‌ای از سازمان‎‌ها جهت مدیریت فعالیت‌های مرتبط با کسب و کارشان مورد استفاده قرار می‌گیرد.
با انتشار نسخه‌ی 3.6.8 ابزار Wireshark، دیگر از ویندوز 32 بیتی پشتیبانی نخواهد شد. در این نسخه چندین آسیب‌پذیری برطرف شده است که از جمله‌ی آن‌ها می‌توان به موارد زیر اشاره کرد:

• رمزگشایی ناقص رشته‌ی  GPP-GPRS-Negotiated-QoS-profile3
• HTTP2 dissector فقط اولین رکورد SSL را رمزگشایی می‌کند.
• بهبود L2TP
• تکرار در متن خلاصه پارامتر ISUP/BICC
• با اجرای rpm-setup.sh بسته‌های گم شده‌ای نشان داده می‌شوند که Centos به آن‌ها نیاز ندارد.
• Qt: یک فایل یا بسته‌ی بسیار بزرگ که فایل pcapng را به خطر خواهد انداخت.
• نقص BGP dissector
• تفسیر اشتباه فیلد cbsp.rep_period در epan/dissectors/packet-gsm_cbsp.c.
• Wireshark و tshark به هنگام خواندن برخی از بسته‌ها پاسخی صادر نمی‌کنند.
• IPX/IPX RIP: Crash on expand subtree
•  Assertion due to incorrect mask for btatt.battery_power_state.
• wnpa-sec-2022-06 F5 Ethernet Trailer dissector infinite loop.
• TCAP Malformed exception on externally re-assembled packet.
• USB Truncation of URB_isochronous in frames

در نسخه‌ی جدید این ابزار از پروتکل‌های به‌روزرسانی شده‌ پشتیبانی خواهد شد که عبارتند از:

•    BGP
•    BICC
•    BT ATT
•    CBSP
•    Couchbase
•    F5 Ethernet Trailer
•    Frame
•    GTP
•    GTP (prime)
•    IPsec
•    ISUP
•    L2TP
•    NAS-5GS
•    Protobuf
•    SCCP
•    TCP
•    TLS

توصیه‌های امنیتی
به کاربرانی که از ابزار Wireshark استفاده می‌کنند توصیه می‌شود در اسرع وقت به‌روزرسانی منتشر شده را جهت بهبود کارایی و خروجی‌ تحلیلگر خود، اعمال کنند.
منابع خبر

 مقدمه
آنتی ویروس و برنامه‌های Cleaner جعلی اندروید منتشر شده در گوگل‌پلی کشف شدند. این برنامه‌ها یک تروجان بانکی را جهت سوء استفاده در بین قربانیان منتشر می‌کند.
جزئیات آسیب‌پذیری
این تروجان بانکی معروف، به نام SharkBot این بار در قالب آنتی ویروس و برنامه‌های cleaner ظاهر شده است.
Fox-IT گروه NCC در گزارشی اذعان داشت: این تروجان برای نصب خودکار بدافزار Sharkbot به مجوزهای Accessibility متکی نیست و در واقع از قربانی خواسته می‌شود که اپلیکیشن‌های مخرب را به عنوان یک به‌روزرسانی جعلی برای آنتی‌ویروس خود نصب کنند تا در برابر تهدیدات محافظت شوند. این اپلیکیشن‌ها عبارتند از:
•    Mister Phone Cleaner  (بیش از 50,000 مرتبه دانلود)
•    Kylhavy Mobile Security (بیش از 10,000 مرتبه دانلود)

Droppersها به منظور رها کردن نسخه جدید تروجان SharkBot طراحی شده‌اند که دارای مکانیزم ارتباطی به‌روز شده کنترل و فرمان  (C2)، الگوریتم تولید دامنه  و یک پایگاه کد کاملا بازسازی شده است.
به گفته Fox-IT، نسخه جدیدتر این تروجان (2.25) که در آگوست 2022 کشف شده است عملکردی را جهت حذف کوکی‌ها در هنگام ورود قربانیان به حساب‌های بانکی خود ارائه می‌دهد.
از جمله قابلیت‌های مخرب این تروجان می‌توان به موارد زیر اشاره کرد: 
•    جمع آوری و سرقت اطلاعات حساب بانکی کاربر
•    ورود غیرمجاز به سیستم
•    انجام نقل و انتقالات جعلی وجوه با استفاده از سیستم انتقال خودکار (ATS)
•    رهگیری پیامک ها

منبع خبر

https://thehackernews.com/2022/09/fake-antivirus-and-cleaner-apps-caught.html
 

زبان برنامه‌نویسی PHP از نسخه 8.1.0 تا نسخه 8.1.7 یک آسیب‌پذیری بحرانی (9.8 از 10) دارد. تابع finfo_buffer از ماژول libmagic تحت تاثیر این آسیب‌پذیری می‌باشد. در این آسیب‌پذیری، برنامه کاربردی، تابع ()free را روی یک اشاره‌گری فراخوانی می‌کند که با استفاده از توابع تخصیص heap مرتبط مانند ()malloc()، calloc یا () realloc حافظه‌ای به آن تخصیص داده نشده است. بدین ترتیب یک مهاجم از راه دور می‌تواند یک رشته بسیار طولانی را به اسکریپتی که بافر را تخصیص می‌دهد ارسال کند و باعث یک سرریز بافر مبتنی بر heap شود تا بتواند کد دلخواه را روی سیستم هدف اجرا کند. جدول زیر مشخصات این آسیب‌پذیری را نشان می‌دهد.

برای رفع این آسیب‌پذیری نسخه آسیب‌پذیر را به نسخه 8.1.8 ارتقا دهید. 

منبع

 https://vuldb.com/?id.205243

پلتفرم قدرتمند webmin با پیاده سازی یک محیط گرافیکی تحت‌وب، امکانات کاملی جهت مدیریت و نگهداری سرورهای لینوکسی در اختیار مدیران سرور قرار می‌دهد. آسیب‌پذیری بحرانی با شناسه CVE-2022-36446 در نرم افزار webmin، اجازه اجرای کد را در اختیار کاربر مهاجم قرار می‌دهد. این آسیب‌پذیری در نسخه های پایین‌تر از 1.997 وجود دارد. مهاجم برای بهره‌برداری از این آسیب‌پذیری نیاز به دسترسی حداقلی دارد، سپس با بکارگیری این آسیب پذیری می‌تواند هرگونه دستوری را بر روی سیستم قربانی اجرا کند.

نرم افزار Webmin برای نصب و بروزرسانی از ابزارهای مدیریت پکیج‌های سیستم‌عامل از (apt، yum و غیره) استفاده می‌کند. به دلیل عدم پاکسازی ورودی، امکان تزریق و اجرای دستور دلخواه وجود دارد. لذا برای استفاده از این آسیب پذیری کاربر باید به ماژول "به روز رسانی بسته نرم افزاری" دسترسی داشته باشد. این آسیب پذیری از مسیر فایل /package-updates/update.cgi تزریق و اجرا می‌گردد. 

توصیه میگردد جهت رفع این آسیب‌پذیری، نرم افزار webmin بروزرسانی نموده و آخرین نسخه نصب گردد.

منابع:

https://nvd.nist.gov/vuln/detail/CVE-2022-36446

https://medium.com/@emirpolat/cve-2022-36446-webmin-1-997-7a9225af3165

مقدمه
در پی 1.4 میلیون مرتبه دانلود چندین افزونه‌ی مخرب گوگل کروم توسط کاربران، امکان سرقت اطلاعات آن‌ها برای مهاجمان فراهم شده است.
جزئیات آسیب‌پذیری
بر اساس گزارش شرکت امنیتی McAfee که به بررسی جزئیات افزونه‌های مخرب پرداخته بود، این افزونه‌ها کاربران را به سایت‌های فیشینگ هدایت می‌کنند.
 این افزونه‌ها عبارتند از:

•    Netflix Party
•    FlipShope – Price Tracker Extension
•    Full Page Screenshot Capture- Screenshotting
•    AutoBuy Flash Sale

این افزونه‌ها استفاده از امکاناتی همچون تماشای فیلم‌های Netflix، کوپن‌های وب‌سایت و گرفتن اسکرین‌شات از یک وب‌سایت را ارائه می‌دهند. افزونه‌های مذکور، فعالیت کاربر را رصد کرده و اطلاعات مربوط به بازدید وب‌سایت توسط کاربر را به سرورهای متعلق به سازنده‌ی افزونه ارسال خواهد کرد. در پی این اقدام، مهاجم کوکی‌های موجود در سایت را تغییر می‌دهد برای اقلام خریداری شده، مبلغی را دریافت کند.
به گفته‌ی کارشناسان McFee "همه‌‌ی افزونه‌ها رفتار مشابهی دارند و از روش POST جهت ارائه اطلاعاتی که شامل URL در فرمت base64، شناسه کاربر، مکان دستگاه (کشور، شهر، کد پستی) استفاده می‌کند.
 

اگر وب‌سایت بازدید شده با فهرستی از وب‌سایت‌هایی که برای آن‌ها یک شناسه وابسته وجود دارد مطابقت داشته باشد، به درخواست پاسخ می‌دهد. پاسخ با استفاده از دو تابع “Result[‘c’] – passf_url “ تأیید می‌شود، که به اسکریپت دستور می دهد URL ارائه شده (پیوند ارجاع) را به عنوان iframe در وب‌سایت بازدید شده درج کند. ، “Result[‘e’] setCookie” نیز دستور می‌دهد که کوکی را تغییر داده یا آن را با کوکی ارائه‌شده جایگزین کند.

 محصولات تحت تأثیر
افزونه‌های زیر تحت تأثیر این آسیب‌پذیری قرار دارند:
 

•    Netflix Party
•    FlipShope – Price Tracker Extension
•    Full Page Screenshot Capture- Screenshotting
•    AutoBuy Flash Sale
 

شرکت McAfee به مشتریان خود توصیه می‌کند هنگام نصب افزونه‌های کروم هوشیار باشند و به نوع مجوزهای درخواستی از کاربر توجه کنند.

منبع خبر

مقدمه
گوگل یک به‌روزرسانی فوری برای وصله یک آسیب‌پذیری روز صفر در مرورگر کروم منتشر کرده است.
جزئیات آسیب‌پذیری
این آسیب‌پذیری که شناسه "CVE-2022-3075" به آن اختصاص داده شده است مربوط به موردی از اعتبارسنجی نادرست داده‌ها در Mojo است. Mojo مجموعه‌ای از کتابخانه‌های زمان اجرا  است که عبور پیام را از مرزهای دلخواه بین فرآیندی و درون فرآیندی  تسهیل می‌کند.
مهاجم می‌تواند با متقاعد کردن قربانی برای بازدید از یک وب سایت خاص، از این آسیب‌پذیری برای دور زدن محدودیت‌های امنیتی سوءاستفاده کند.
محصولات تحت تأثیر
مرورگر گوگل کروم تحت تاثیر این آسیب‌پذیری قرار دارد.
توصیه‌های امنیتی
این به‌روزرسانی ششمین به‌روزرسانی روز صفر کروم است که گوگل از ابتدای سال تاکنون آنها را برطرف کرده است. 
به کاربران توصیه می‌شود برای کاهش تهدیدات احتمالی، مرورگر خود را در ویندوز، macOS و لینوکس به نسخه 105.0.5195.102 ارتقاء دهند. همچنین به کاربرانی که از مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera و Vivaldi استفاده می‌کنند توصیه می‌شود به محض در دسترس قرار گرفتن نسخه وصله شده، نسبت به اعمال آن اقدام نمایند.
منبع خبر

 https://thehackernews.com/2022/09/google-release-urgent-chrome-update-to.html
 

در PostgreSQL، افزونه‌ها ابزارهایی برای گسترش قابلیت‌ها و یک عامل اصلی برای محبوبیت آن به شمار می‌آیند. امروزه بیش از هزار افزونه برای Postgres در دسترس است که نشانگر انعطاف‌پذیری باورنکردنی معماری آن بوده و می‌توانند کاربردهای مختلفی داشته باشند. اما بدلیل این افزونه‌ها، پایگاه‌داده PostgreSQL در نسخه‌های 10.0 تا نسخه 10.21، نسخه 11.0 تا نسخه 11.16، نسخه 12.0 تا نسخه 12.11، نسخه 13.0 تا نسخه 13.7 و از نسخه 14.0 تا نسخه 14.4 یک آسیب‌پذیری با شدت بالا (8.0 از 10) دارد. در این آسیب‌پذیری، افزونه‌هایی که از دستور CREATE یا REPLACE استفاده می‌کنند و یک object همنام با objectهای موجود ایجاد کنند، Objectهای قبلی، بطور پیش فرض سطح دسترسی افزونه و object جدید را به ارث می‌برند. در نتیجه این امر، مجوزهای دسترسی Objectهای قبلی ارتقا می‌یابد که می‌تواند به شدت مشکل آفرین شود. بدین معنی که یک کاربر می‌تواند با ایجاد هدفمند یک object و سپس نصب یک افزونه ای که object همنام آن را دارد، سطح دسترسی object خود را ارتقا داده و به پایگاه داده دسترسی کامل پیدا نماید.

برای رفع این آسیب‌پذیری، نسخه‌های آسیب‌پذیر را به یکی از نسخه‌های 10.22، 11.17 ، 12.12، 13.8 و 14.5 ارتقا دهید.

منابع

https://nvd.nist.gov/vuln/detail/CVE-2022-2625#range-8251806'

 مقدمه
براساس گزارشات منتشر شده، یک بدافزار استخراج ارز دیجیتال هزاران کاربر را در 11 کشور جهان آلوده کرده است.
جزئیات آسیب‌پذیری
شناسایی این بدافزار توسط تحلیلگران امنیتی Check Point انجام شده است. ظاهرا این بدافزار توسط توسعه‌دهنده‌ای به نام نیتروکد (Nitrokod) که نرم‌افزار رایگان ارائه می‌دهد، طراحی شده است. از نظر نتایج جستجو، Nitrokod رتبه بالایی در گوگل دارد، بنابراین این وب سایت برای کاربرانی که به دنبال یک سرویس خاص هستند، گزینه مناسبی است.
 این بدافزار کاربران را فریب می‌دهد تا نسخه جعلی سرویس‌هایی تحت عنوان Google Translate و دانلود کننده MP3 مانند YouTube Music  را دانلود کنند. بدافزار مذکور به دلیل فرآیند پیچیده و چندمرحله‌ای طراحی شده آلوده کردن سیستم قربانی، می‌تواند تا مدت‌ها مخفی بماند و فرآیند را تا یک ماه به تأخیر بیاندازد. پس از اجرای نرم‌افزار، این بدافزار با اتصال به سرور فرمان و کنترل خود و دریافت ابزار استخراج CPU XMRig، عملیات استخراج مونرو (XMR) را آغاز می‌کند.
مهاجمان با هدف کاربران جهت دانلود نسخه دسکتاپ سرویس‌هایی مانند YouTube Music و Microsoft Translator در وب‌سایت‌هایی همچون Softpedia که از جمله ارئه‌دهندگان نرم‌افزارهای رایگان می‌باشند، برای آن‌ها تله می‌گذارند و این در حالی است که این سرویس‌ها در واقع هیچ نسخه دسکتاپ رسمی ندارند.
گفتنی است پس از پست شدن Applet در Softpedia، بیش از 112190 مرتبه Nitrokod’s Applet برایGoogle Translate دانلود شده است.

 توصیه‌های امنیتی
خطرات بدافزار استخراج ارز دیجیتال می‌تواند بسیار زیاد باشد و منجر به آسیب رساندن به سخت‌افزار شود. همچنین با استفاده از منابع CPU اضافی بر عملکرد رایانه شما تأثیر می‌گذارد که به نوبه خود باعث کند شدن رایانه خواهد شد؛ لذا به کاربران توصیه می‌شود جهت پیش‌گیری از خطرات احتمالی، توصیه‌های امنیتی زیر را در نظر بگیرند:
•    از دانلود کردن اپلیکیشن‌ها از منابع ناشناس خودداری کنید.
•    به دنبال دانلود اپلیکیشن‌‌ها، از کلیک روی پیوندها و تبلیغات اطراف صفحه خودداری کنید.
منابع خبر

https://gbhackers.com/malware-disguised-as-google-translate/
 

مقدمه
اخیرا یک آسیب‌پذیری افزایش دسترسی‌های local در مجموعه ابزارهای VMware  که بر هر دو سیستم‌عامل ویندوز و لینوکس تاثیر می‌گذارد، شناسایی شده است.
جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسه "CVE-2022-31676" و CVSSv3 7.0، می‌تواند توسط مهاجمان برای افزایش امتیازات به عنوان یک کاربر root در ماشین مجازی مورد بهره‌برداری قرار گیرد.
VMware Tools مجموعه‌ای از ابزارهای نرم‌افزاری است که برای بهبود عملکرد سیستم‌عامل مهمان VM و همچنین مدیریت منابع خود ماشین مجازی استفاده می‌شود.
محصولات تحت تأثیر
VMware Tools در هر دو نسخه ویندوز و لینوکس تحت تاثیر این نقص قرار دارند.
توصیه‌های امنیتی
این آسیب‌پذیری توسط Vmware در نسخه 12.1.0 برای ویندوز و 10.3.25 برای لینوکس وصله شده است. به کاربران توصیه می‌شود نرم‌افزار خود را نسخه‌های وصله شده به‌روزرسانی کنند.
 

منبع

https://gbhackers.com/vmware-tools-suite-flaw/

مقدمه
شرکت Atlassian  برای یک نقص امنیتی مهم با شدت ۹.۹ از ۱۰ در Bitbucket Server و Data Center که منجر به اجرای کدهای مخرب خواهد شد، وصله امنیتی منتشر کرد.

جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسه‌‌ی CVE-2022-36804 می‌تواند از طریق درخواست‌های HTTP ساختگی مورد بهره‌برداری قرار گیرد. مهاجم با دسترسی به مخزن عمومی  Bitbucket و یا از طریق اخذ مجوز خواندنِ مخزن خصوصی می‌تواند کد دلخواه خود را با ارسال یک درخواست HTTP مخرب اجرا کند.

محصولات تحت تأثیر
این نقص امنیتی که توسط محقق امنیتی TheGrandPew@ کشف و گزارش شده است، تمام نسخه‌های بعد از 6.10.17، شامل نسخه 7.0.0 و جدیدتر را در Bitbucket Server و Datacenter تحت تأثیر قرار می‌دهد، نسخه‌های تحت تأثیر شامل موارد ذیل می‌باشد: 

•    Bitbucket Server and Datacenter 7.6
•    Bitbucket Server and Datacenter 7.17
•    Bitbucket Server and Datacenter 7.21
•    Bitbucket Server and Datacenter 8.0
•    Bitbucket Server and Datacenter 8.1
•    Bitbucket Server and Datacenter 8.2, and
•    Bitbucket Server and Datacenter 8.3

توصیه‌های امنیتی
به کاربران توصیه می‌شود جهت پیش‌گیری از خطرات احتمالی ناشی از این آسیب‌پذیری‌ در اسرع وقت نسخه‌های به‌روزرسانی‌شده محصولات تحت تأثیر را بر روی دستگاه خود نصب کنند.
شرکت Atlassian به عنوان یک راه حل موقت در مواردی که کاربران امکان اعمال فوری وصله‌های امنیتی منتشر شده را ندارند به آن‌ها توصیه می‌کند مخازن عمومی را جهت جلوگیری از سوء استفاده مهاجمان با استفاده از "feature.public.access=false" خاموش کنند.
 منبع خبر