پلتفرم Red Hat Process Automation Manager به کسب و کارها کمک می‌کند که راهکارهای اتوماسیون cloud-native و مبتنی بر میکروسرویس‌ها را ایجاد نمایند. این برنامه در نسخه 7 یک آسیب‌پذیری بحرانی (9.8 از 10) دارد. در این آسیب‌پذیری مهاجم می‌تواند یک حمله brute force را برعلیه Administator Console بکار ببرد. علت این است که این پلتفرم تعداد تلاش‌های ناموفق برای ورود را محدود نمی‌کند و لذا یک مهاجم می‌تواند با ارسال تعداد زیادی رمز عبور و/یا نام کاربری احتمالی، به برنامه دسترسی پیدا کند. جدول زیر مشخصات این آسیب‌پذیری را نشان می‌دهد.

منابع

https://nvd.nist.gov/vuln/detail/CVE-2022-2457#range-8219506

دو آسیب‌پذیری حیاتی شناسایی شده در سرویس دهنده‌ی ایمیل زیمبرا بصورت گسترده مورد سواستفاده مهاجمین قرار گرفته است. این دو آسیب‌پذیری شامل آسیب‌پذیری RCE به شناسه‌ی CVE-2022-27925 و آسیب‌پذیری authentication bypass به شناسه‌ی CVE-2022-37042 است.  ترکیب این دو آسیب پذیری باعث شده مهاجم بتواند با ایجاد یک فایل ZIP محتوی یک فایل با آدرس نسبی، نسبت به جایگزاری فایل در مسیر مشخص اقدام کنند. این دو آسیب‌پذیری در patch نسخه‌های 9.0.0P26  و 8.8.15P33 رفع شده‌اند.
بهره‌برداری از این آسیب‌پذیری از طریق ارسال درخواست HTTP post به سرویس دهنده‌ی وب زیمبرا صورت می‌گیرد.
 

با توجه به سواستفاده گسترده از این آسیب‌پذیری‌ها طی یک  ماه گذشته، چنانچه سرویس webmail زیمبرا بر روی اینترنت قرار داشته، به احتمال بسیار زیاد مورد نفوذ قرار گرفته است.
بمنظور بررسی نفوذ احتمالی لازم است اقدامات زیر صورت پذیرد:

1.  بررسی لاگ‌های دسترسی webmail و جستجوی الگوی حمله

برای این منظور به شرط در دسترس بودن لاگ‌های access log بلندمدت (بیش از یک ماه) می توان با جستجوی عبارت زیر، اقدام به سواستفاده‌ از آسیب‌پذیری را بررسی کرد:

mboximport?account-name=admin

به عنوان نمونه، می توان در کنسول سیستم عامل میزبان زیمبرا به صورت زیرجستجوی فوق را انجام داد:

sudo grep -r "mboximport?account-name=admin" /opt/zimbra/log

2. در صورت نفوذ موفق به سرور از این روش،‌ مهاجم از طریق بارگزاری webshell در سرویس دهنده‌ی وب، امکان اجرای فرامین را از راه دور بدست می‌آورد. جهت کشف وب‌شل‌های بارگزاری شده‌ی احتمالی، می‌توان نسبت به مقایسه فایل‌های “.jsp” سرویس‌دهنده وب با فهرست فایل‌های موجود در زیمبرا اقدام کرده و هر فایل مشاهده اضافی را مورد بررسی قرار داد. فهرست فایل‌های  مجاز “.jsp” برخی از نسخه‌های زیمبرا در آدرس زیر موجود است:

https://github.com/volexity/threat-intel/tree/main/2022/2022-08-10%20Mass%20exploitation%20of%20(Un…

３. در صورت تایید نفوذ مهاجمین به سرور:

• احتمال دسترسی مهاجم یه تمامی اطلاعات سرور از جمله محتوای ایمیل‌ها وجود دارد.
• لازم است نسبت به نصب سرور جدید، نصب آخرین بروزرسانی و patch منتشر شده و انتقال تنظیمات و اطلاعات ایمیل‌ها به سرور جدید اقدام گردد. جهت این کار می‌توان از راهنمای زیر استفاده نمود:

https://wiki.zimbra.com/wiki/Steps_To_Rebuild_ZCS_Server

منابع:

1. https://www.volexity.com/blog/2022/08/10/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-2…
2. https://www.greynoise.io/blog/zimbra-collaboration-suite-vulnerability-analysis
    

 مقدمه
گوگل کروم یک بروزرسانی امنیتی جدید برای کاربران ویندوز، لینوکس و مک جهت رفع چندین آسیب‌پذیری و همچنین رفع یک آسیب‌پذیری روز صفر با شدت بالا منتشر کرد.

جزئیات آسیب‌پذیری
کروم 104 با رفع 11 آسیب‌پذیری امنیتی از جمله یک آسیب‌پذیری با شدت بحرانی و 6 آسیب‌پذیری با شدت بالا که توسط تیم Google Project Zero و محققان امنیتی دیگر گزارش شده‌اند، منتشر شد. آسیب‌پذیری بحرانی با شناسه "CVE-2022-2852" که توسط Sergei Glazunov از تیم Google Project Zero گزارش شده است، به مهاجمان اجازه می‌دهد از راه دور کنترل سیستم را بدست بگیرند.
در سال جاری 5 آسیب‌پذیری روز صفر شناسایی شده است که آخرین آسیب‌پذیری با شناسه "CVE-2022-2856" و شدت بالا گزارش شده است. 4 آسیب‌پذیری دیگر عبارتند از:

•    CVE-2022-2294: 4 ژوئیه
•    CVE-2022-1364: 14 آوریل
•    CVE-2022-1096: 25 مارس
•    CVE-2022-0609: 14 فوریه

محصولات تحت تأثیر

مرورگر گوگل کروم برای ویندوز، لینوکس و مک تحت تاثیر این آسیب‌پذیری‌ها قرار دارند.

توصیه‌های امنیتی
طبق گزارش گوگل، نسخه‌های وصله شده 104.0.5112.101 برای مک و 104.0.5112.102 یا  104.0.5112.101 برای ویندوز منتشر شده است. جهت بروزرسانی کروم مراحل زیر را دنبال کنید:
به بخش Settings بروید.
سپس بر روی گزینه Help کلیک کنید.
پس از آن باید گزینه About Google Chrome را انتخاب کنید.
اکنون مرورگر شما به طور خودکار بروزرسانی جدید را بررسی کرده و آن را نصب می‌کند.

منابع خبر:

https://gbhackers.com/warning-new-chrome-0-day-bug-being-exploited-in-the-wide/

مقدمه
یک آسیب‌پذیری در رابط مدیریت وب AsyncOS سیسکو برای Secure Web Appliance که قبلا به نام Web Security Appliance (WSA) شناخته می‌شد، کشف شده است که به یک مهاجم احراز هویت شده اجازه می‌دهد از راه دور دستور دلخواه خود را تزریق کند و امتیازات خود را به امتیازات کاربر root افزایش دهد.
جزئیات آسیب‌پذیری
آسیب‌پذیری مذکور با شناسه "CVE-2022-20871"  و شدت بالا گزارش شده است. این آسیب‌پذیری به دلیل اعتبارسنجی ناکافی ورودی ارائه شده توسط کاربر برای این رابط وب اتفاق می‌افتد. مهاجم می‌تواند با احراز هویت از طریق سیستم و ارسال یک بسته  HTTP جعلی به دستگاه آسیب‌دیده، از این آسیب‌پذیری سوءاستفاده کند. یک بهره‌برداری موفق مهاجم را قادر می‌سازد تا دستورات دلخواه خود را بر روی سیستم عامل اصلی اجرا کند و امتیازات خود را در حد کاربر root افزایش دهد. برای بهره‌برداری موفق از این آسیب‌پذیری، مهاجم حداقل به امتیاز read-only نیاز دارد.
محصولات تحت تأثیر
این آسیب‌پذیری AsyncOS را برای Secure Web Appliance، هم در دستگاه‌های مجازی و هم سخت‌افزاری تحت تاثیر قرار می‌دهد.
به تایید سیسکو، محصولات زیر آسیب‌پذیر نیستند:
•    Email Security Appliance (ESA) هم در دستگاه‌های مجازی و هم سخت‌افزاری
•    Secure Email and Web Manager که قبلا Security Management Appliance (SMA) شناخته می‌شد، هم در دستگاه‌های مجازی و هم سخت‌افزاری
توصیه‌های امنیتی
به کاربران توصیه می‌شود هر چه سریعتر نرم‌افزار خود را به آخرین نسخه وصله شده، مطابق جدول زیر ارتقاء دهند.

در بیشتر موارد، این نرم‌افزار را می‌توان از طریق شبکه با استفاده از گزینه‌های System Upgrade در رابط وب Secure Web Appliance ارتقاء داد. جهت ارتقاء دستگاه با کمک رابط وب، مراحل زیر را انجام دهید:

• System Administration > System Upgrade را انتخاب کنید.
• روی گزینه‌های Upgrade کلیک کنید.
• Download و Install را انتخاب کنید.
• نسخه موردنظر خود را انتخاب کنید.
• در قسمت Upgrade Preparation، گزینه‌های مناسب را انتخاب کنید.
• روی Proceed کلیک کنید تا عملیات ارتقاء آغاز شود.
• پس از پایان کار دستگاه مجددا راه‌اندازی می‌شود.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-prv-esc-8PdRU8t8
 

مقدمه
کارشناسان امنیت سایبری در هر یک از نرم‌افزارهایCisco Adaptive Security Appliance (ASA)  و  Cisco Firepower Threat Defense (FTD) آسیب‌پذیری‌ با شدت بالا و شناسه‌های CVE-2022-20715 و CVE-2022-20866 کشف کردند.
جزئیات آسیب‌پذیری
آسیب‌پذیری با شناسه‌‌ی CVE-2022-20715 امکان دسترسی از راه دور SSL VPN را برای مهاجم احراز هویت نشده فراهم می‌آورد و به او اجازه می‌دهد تا از راه دور در دستگاهِ تحت تأثیر این آسیب‌پذیری حمله‌ی انکار سرویس (DoS) انجام دهد. آسیب‌پذیری با شناسه‌‌ی CVE-2022-20866 نیز مربوط به نقص امنیتی در مدیریت کلیدهای RSA دستگاه‌هایی است که از نرم‌افزارهای تحت تأثیر آن استفاده می‌کنند که به مهاجم احراز هویت نشده اجازه دهد تا از راه دور کلید خصوصی RSA را بازیابی کند.
محصولات تحت تأثیر
این آسیب‌پذیری بر محصولاتی تأثیر می‌گذارد که نسخه آسیب‌پذیر نرم‌افزار Cisco ASA یا FTD را اجرا کنند و دارای پیکربندی AnyConnect یا WebVPN آسیب‌پذیر باشند.
محصولات تحت تأثیر آسیب‌پذیری با شناسه‌ی CVE-2022-20715:
 برای بررسی آن که آیا نرم‌افزارهای ASA و FTD که در حال اجرا هستند، تحت تأثیر این آسیب‌پذیری قرار دارند یا خیر، از دستور show-running-config CLI استفاده کنید. در ستون سمت چپ جداول زیر، ویژگی‌های نرم‌افزار Cisco ASA و Cisco FTD که آسیب‌پذیر هستند را مشاهده می‌کنید. ستون سمت راست نیز خروجی خط فرمان show running-config CLI را در دستگاهی که این ویژگی را فعال کرده است نشان می‌دهد که حاکی از آسیب‌پذیر بودن آن است.

محصولات تحت تأثیر آسیب‌پذیری با شناسه‌ی CVE-2022-20866:
در صورتی که محصولات سیسکو زیرکه عملکردهای رمزنگاری مبتنی بر سخت‌افزار را انجام می‌دهند، نسخه آسیب‌پذیر نرم‌افزار Cisco ASA یا نرم‌افزار Cisco FTD را اجرا کنند، تحت تأثیر آن قرار خواهند گرفت:

در ستون سمت چپ جداول زیر، ویژگی‌های نرم‌افزار Cisco ASA و Cisco FTD که آسیب‌پذیر هستند را مشاهده می‌کنید. اگر یک کلید RSA نادرست یا حساس با پیکربندی ویژگی ذکر شده مرتبط باشد، به طور بالقوه آسیب‌پذیر است. ستون سمت راست نیز خروجی خط فرمان show running-config CLI را در دستگاهی که این ویژگی را فعال کرده است نشان می‌دهد که حاکی از آسیب‌پذیر بودن آن است. 
 

توصیه‌های امنیتی
به کاربران توصیه می‌شود جهت پیش‌گیری از خطرات احتمالی ناشی از این آسیب‌پذیری‌ها در اسرع وقت نسخه‌های به‌روزرسانی‌شده محصولات تحت تأثیر را که در ادامه به آن‌ها اشاره شده است، بر روی دستگاه خود نصب کنند.
به‌روزرسانی‌های منتشر شده برای آسیب‌پذیری با شناسه‌ی CVE-2022-20715:
به‌روزرسانی‌های منتشر شده برای نرم‌افزار Cisco Adaptive Security Appliance (ASA)
 

* شرکت سیسکو دیگر از نرم‌افزار Cisco ASA نسخه 9.7 و قبل از آن و همچنین نسخه‌های 9.9، 9.10 و 9.13 به قبل پشتیبانی نمی‌کند و به مشتریان توصیه می‌شود به نسخه‌های دیگری که مشمول پشتیبانی می‌شوند مهاجرت کنند.
به‌روزرسانی‌های منتشر شده برای نرم‌افزار Cisco Firepower Threat Defense (FTD)
 

* شرکت سیسکو دیگر از نرم‌افزار Cisco FMC و  FTD  نسخه 6.2.2 و قبل از آن و همچنین نسخه‌های 6.3.0 و 6.5.0 به قبل پشتیبانی نمی‌کند و به مشتریان توصیه می‌شود به نسخه‌های دیگری که مشمول پشتیبانی می‌شوند مهاجرت کنند.

به‌روزرسانی‌های منتشر شده برای آسیب‌پذیری با شناسه‌ی CVE-2022-20866:
به‌روزرسانی‌های منتشر شده برای نرم‌افزار Cisco Adaptive Security Appliance (ASA)
 

* شایان ذکر است اگر کاربران، نرم‌افزار Cisco ASA را به نسخه آسیب‌پذیر ارتقاء داده‌اند، هر چه سریع‌تر آن را به نسخه‌ی غیرآسیب‌پذیر تنزل داده و از معتبر بودن کلیدهای RSA اطمینان حاصل کنند. به عنوان مثال، اگر نرم‌افزار خود را به نسخه 9.16.1 ارتقا داده‌اید، آن را به نسخه 9.14.3.18 برگردانید.
به‌روزرسانی‌های منتشر شده برای نرم‌افزار Cisco Firepower Threat Defense (FTD)

* شایان ذکر است اگر کاربران، نرم‌افزار Cisco FTD را به نسخه آسیب‌پذیر ارتقاء داده‌اند، هر چه سریع‌تر آن را به نسخه‌ی غیرآسیب‌پذیر تنزل داده و از معتبر بودن کلیدهای RSA اطمینان حاصل کنند. به عنوان مثال، اگر نرم‌افزار خود را به نسخه 7.0.0 ارتقا داده‌اید، آن را به نسخه 6.4.0.15 برگردانید.
منابع خبر

#‫مایکروسافت در به‌روزرسانی روز سه‌شنبه 9 آگوست 2022، 118 #‫آسیب‌پذیری را در محصولات خود برطرف کرده است. از این 118 آسیب‌پذیری، 17 مورد دارای شدت بحرانی و 101 مورد به عنوان مهم طبقه‌بندی شده‌اند.

این 118 نقص شامل آسیب‌پذیری‌های زیر بوده‌اند:

• 31 مورد Remote Code Execution
• 64 مورد Elevation of Privilege
• 7 مورد Denial of Service
• 12 مورد Information Disclosure
• 1 مورد Spoofing
• 3 مورد Security Feature Bypass

طبق نمودار زیر، سهم بالاتر مربوط به Elevation of privilege (EoP) و پس از آن،Remote Code Execution (RCE) از آسیب‌پذیری‌های وصله‌شده در این ماه را تشکیل می‌دهند.

برخی از آسیب‌پذیری‌های مهم این ماه به شرح زیر می‌باشند:

• CVE-2022-21980، CVE-2022-24516 و CVE-2022-24477: آسیب‌پذیری‌های ارتقاء سطح دسترسی در Microsoft Exchange Server: این سه آسیب‌پذیری با شدت "بحرانی" در Microsoft Exchange Server وجود دارند و برای بهره‌برداری موفق نیازمند احراز هویت و تعامل با کاربر هستند. بنابراین مهاجم باید قربانی را با روش‌هایی مانند فیشینگ به بازدید از یک Exchange server ساختگی ترغیب کند تا بتواند از این آسیب‌پذیری‌ها بهره‌برداری نماید. مایکروسافت به منظور کاهش خطرات ناشی از این آسیب‌پذیری‌ها فعال‌سازی Extended Protection را توصیه می‌کند.
• CVE-2022-35804: آسیب‌پذیری اجرای کد از راه دور در کلاینت و سرور پروتکل SMB: یک آسیب‌پذیری RCE با شدت "بحرانی" که سرور و کلاینتِ Message Block (SMB) Server را در سیستم‌هایی که دارای سیستم‌عامل Windows 11 هستند و از پروتکل Microsoft SMB 3.1.1 (SMBv3) استفاده می‌کنند تحت تأثیر قرار می‌دهد. این آسیب‌پذیری یادآور آسیب‌پذیری‌های قبلی SMB مانند آسیب‌پذیری اخیر«EternalDarkness» با شناسه CVE-2020-0796 است که یک نقص RCE در SMB 3.1.1 بود و یا نقص EternalBlue SMBv1 که در MS17-010 در مارس 2017 وصله شد و به عنوان بخشی از رخداد WannaCry مورد سوءاستفاده قرار گرفت. از آنجا هر گونه نقصی در این پروتکل می‌تواند سناریوی WannaCry دوم را منجر شود بنابراین هر چه سریع‌تر باید اقدامات لازم جهت رفع این آسیب‌پذیری صورت گیرد.
• CVE-2022-34691: آسیب‌پذیری ارتقاء سطح دسترسی در Active Directory Domain Services: این آسیب‌پذیری با شدت "بحرانی"، می‌تواند توسط یک مهاجم احراز هویت شده برای دستکاری attributeهای حساب‌های کاربری و احتمالاً دریافت گواهی از Active Directory Certificate Services مورد سوءاستفاده قرار گیرد. این گواهی به مهاجم اجازه می‌دهد سطح دسترسی خود را ارتقاء دهد. بهره‌برداری از این نقص تنها در صورتی امکان‌پذیر است که Active Directory Certificate Services بر روی دامنه در حال اجرا باشد.
• CVE-2022-34713 و CVE-2022-35743: آسیب‌پذیری‌های اجرای کد از راه دور در ابزار Microsoft Windows Support Diagnostic Tool (MSDT) : این آسیب‌پذیری‌ها که به عنوان "مهم" دسته‌بندی شده‌اند، نقص‌های RCE در ابزار تشخیصی پشتیبانی مایکروسافت به نام MSDT هستند. نقص CVE-2022-34713 اولین بار در ژانویه 2020 فاش شد و مایکروسافت تصمیم گرفت این نقص را در آن زمان برطرف نکند، اما به دنبال افزایش علاقه به MSDT که با کشف و بهره‌برداری از نقص CVE-2022-30190 (aka Follina) برانگیخته شد، مایکروسافت این آسیب‌پذیری را در این ماه اصلاح کرد. به گفته‌ی محققانِ Proofpoint، Symantec و Cyberint، مهاجمان Follina را در کمپین‌های خود گنجانده‌اند و در کمین حمله هستند، بنابراین اکیداً به سازمان‌ها توصیه می‌شود در اسرع وقت وصله‌های موجود را برای این آسیب‌پذیری‌ها اعمال کنند.
• CVE-2022-35755 و CVE-2022-35793: آسیب‌پذیری‌های ارتقاء سطح دسترسی در Windows Print Spooler: این آسیب‌پذیری‌ها که به عنوان "مهم" دسته‌‌بندی شده‌اند، در مؤلفه‌های Windows Print Spooler وجود دارند. آسیب‌پذیری CVE-2022-35755 را می‌توان با استفاده از یک "فایل ورودی" ساختگی مورد سوءاستفاده قرار داد، در حالی که بهره‌برداری از CVE-2022-35793 نیاز به کلیک کاربر بر روی یک URL ساختگی خاص دارد. بهره‌برداری موفق از هر دو آسیب‌پذیری سطح دسترسی SYSTEM را به مهاجم می‌دهند. با غیرفعال کردن سرویس Print Spooler می‌توان خطرات هر دو آسیب‌پذیری‌ را کاهش داد، اما برای نقص CVE-2022-35793، اقدام کاهشی از طریق غیرفعال کردن inbound remote printing در Group Policy نیز امکان‌پذیر است.
• 31 آسیب‌پذیری ارتقاء سطح دسترسی در Azure Site Recovery: Azure Site Recovery مجموعه‌ای از ابزارهای مورد استفاده برای بازگشت از فاجعه است که در این ماه تعداد قابل توجهی از آسیب‌پذیری‌های آن وصله شده است. تمام این آسیب‌پذیری‌ها تحت عنوان "مهم" دسته‌بندی شده‌اند.

محصولات تحت تأثیر

• .NET Core
• Active Directory Domain Services
• Azure Batch Node Agent
• Azure Real Time Operating System
• Azure Site Recovery
• Azure Sphere
• Microsoft ATA Port Driver
• Microsoft Bluetooth Driver
• Microsoft Edge (Chromium-based)
• Microsoft Exchange Server
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office Outlook
• Microsoft Windows Support Diagnostic Tool (MSDT)
• Remote Access Service Point-to-Point Tunneling Protocol
• Role: Windows Fax Service
• Role: Windows Hyper-V
• System Center Operations Manager
• Visual Studio
• Windows Bluetooth Service
• Windows Canonical Display Driver
• Windows Cloud Files Mini Filter Driver
• Windows Defender Credential Guard
• Windows Digital Media
• Windows Error Reporting
• Windows Hello
• Windows Internet Information Services
• Windows Kerberos
• Windows Kernel
• Windows Local Security Authority (LSA)
• Windows Network File System
• Windows Partition Management Driver
• Windows Point-to-Point Tunneling Protocol
• Windows Print Spooler Components
• Windows Secure Boot
• Windows Secure Socket Tunneling Protocol (SSTP)
• Windows Storage Spaces Direct
• Windows Unified Write Filter
• Windows WebBrowser Control
• Windows Win32K

نحوه‌ی وصله یا به‌روزرسانی محصولات آسیب‌پذیر در لینک زیر آورده شده است:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Aug

کارشناسان امنیت سایبری اخیراً در آزمایشگاه تحقیقاتی Cyble افزایش تعداد حملات #‫بدافزار Stegomalware با استفاده از روش Steganography را گزارش داده‌اند. Steganography عمدتاً روشی است که در آن، داده‌ها در یک پیام یا فایل معمولی از نوع فایل متنی، تصویر و ویدیو به روشی خاص پنهان می‌شوند.

جزئیات آسیب‌پذیری
بدون شک می‌توان گفت Steganography یکی از دشوارترین روش‌های مورد استفاده در حملات صورت گرفته توسط بدافزارها می‌باشد. بدافزار Stegomalware از روش image steganography جهت عدم شناسایی توسط مکانیسم‌های تشخیص مانند نرم‌افزارهای آنتی‌ویروس و سیستم‌های ضد بدافزار استفاده می‌کند. در این فرآیند یک فایل اجرایی (exe) مخرب معمولاً به عنوان یک فایل تصویری مجاز پنهان می‌شود و سپس با استفاده از تکنیک Image Steganography به فایل تصویری مذکور تزریق خواهد شد. گزارش‌ها نشان می‌دهد که در نتیجه‌ی استفاده از روش Image Steganography، بیش از 1800 نمونه بدافزار در 90 روز گذشته شناسایی شده است. در تصویر زیر خلاصه‌ای از توزیع بدافزار stegomalware به صورت ماهانه نمایش داده شده است.

شایان ذکر است که چندین بدافزار شناخته‌شده وجود دارند که از روش Steganography جهت انجام حملات خود استفاده می‌کنند، از جمله:

• Knotweed
• Web Shells
• Hacking Tools: Mimikatz, Rubeus
• NanoCore RAT
• AgentTesla
• XLoader

محصولات تحت تأثیرکلیه رایانه‌های شخصی، لپ‌تاپ و تلفن‌های همراه با هر سیستم عاملی می‌توانند تحت تأثیر این بدافزار قوی قرار گیرند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود جهت کاهش خطرات ناشی از این بدافزار، موارد زیر را در نظر داشته باشند:

• از آخرین تکنیک‌ حملاتی که توسط مهاجمان مورد استفاده قرارمی‌گیرد آگاه باشید.
• مطمئن شوید که دستگاه‌های شما، از جمله رایانه‌های شخصی، لپ‌تاپ‌ها و تلفن‌های همراه، توسط یک آنتی‌ویروس قوی محافظت می‌شوند.
• جهت جلوگیری از نشت و سرقت داده‌ها توسط بدافزارها و تروجان‌ها، beacon را در سطح شبکه رصد کنید.
• هنگام بررسی تصاویر مشکوک، محتویات فایل‌های مشکوک را نیز بررسی کنید.
• توصیه می‌شود قبل از دانلود هر فایل، منبع آن را بررسی کنید.
• رمزهای عبور خود را در فواصل زمانی منظم، به‌روزرسانی کنید.
• قبل از دریافت فایل‌ها و لینک‌های پیوست شده به ایمیل، از سلامت آن‌‌ها اطمینان حاصل کنید.
• URLهای پخش‌کننده ویروس مانند تورنت ها و warez باید مسدود شوند.
• اطمینان حاصل کنید که سیستم شما به راه‌‎حل‌های پیشگیری از، از دست دادن داده (DLP) مجهز است.

منبع خبر:

https://gbhackers.com/stegomalware-surge-attackers-using-file-video-image-others-to-hide-malware/

VMware تعداد 10 نقص امنیتی را در محصولات خود برطرف نموده است. این شرکت همچنین در خصوص وصله‌ی #‫آسیب‌پذیری بحرانی دور زدن فرآیند احراز هویت در برخی از محصولات خود که کاربران local domain را تحت تأثیر قرار می‌دهد و مهاجم احراز‌ هویت‌ نشده را قادر می‌سازد تا امتیازات ادمین را به دست آورد، به مدیران هشدار داد.

جزئیات آسیب‌پذیری
CVE-2022-31656: این آسیب‌پذیری با شدت بحرانی (9.8 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص دور زدن فرآیند احراز هویت است که کاربران local domain را تحت تأثیر قرار می‎دهد. یک مهاجم با دسترسیِ شبکه به رابط کاربری ممکن است بتواند بدون نیاز به احراز هویت دسترسی ادمین را به دست آورد.
CVE-2022-31658: این آسیب‌پذیری با شدت بالا (8.0 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص اجرای کد از راه دورِ تزریق JDBC است که به مهاجم با دسترسی ادمین در شبکه اجازه می‌دهد کد دلخواه خود را از راه دور اجرا نماید.
CVE-2022-31659: این آسیب‌پذیری با شدت بالا (8.0 از 10)، که در محصولات VMware Workspace ONE Access و Identity Manager شرکت VMware وجود دارد، یک نقص اجرای کد از راه دورِ تزریق SQL است که به مهاجم با دسترسی ادمین در شبکه اجازه می‌دهد کد دلخواه خود را از راه دور اجرا نماید.
CVE-2022-31660 و CVE-2022-31661: این دو آسیب‌پذیری با شدت بالا (7.8 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارند، نقص‌های ارتقاء سطح دسترسی هستند که به مهاجم با دسترسی محلی اجازه می‌دهند سطح دسترسی خود را به ‘root’ ارتقاء دهد.
CVE-2022-31664: این آسیب‌پذیری با شدت بالا (7.8 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص ارتقاء سطح دسترسی است که به مهاجم با دسترسی محلی اجازه می‌دهد سطح دسترسی خود را به ‘root’ ارتقاء دهد.
CVE-2022-31665: این آسیب‌پذیری با شدت بالا (7.6 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص اجرای کد از راه دورِ تزریق JDBC است که به مهاجم با دسترسی ادمین در شبکه اجازه می‌دهد کد دلخواه خود را از راه دور اجرا نماید.
CVE-2022-31657: این آسیب‌پذیری با شدت متوسط (5.9 از 10)، که در محصولات VMware Workspace ONE Access و Identity Manager شرکت VMware وجود دارد، یک نقص تزریق URL است که به مهاجم با دسترسیِ شبکه اجازه می‌دهد یک کاربر احراز هویت شده را به دامنه‌ی دلخواه هدایت کند.
CVE-2022-31662: این آسیب‌پذیری با شدت متوسط (5.3 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager، Connectors و vRealize Automation شرکت VMware وجود دارد، یک نقص path traversal است که به یک مهاجم با دسترسیِ شبکه اجازه می‌دهد به فایل‌های دلخواه دسترسی پیدا کند.
CVE-2022-31663: این آسیب‌پذیری با شدت متوسط (4.7 از 10)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص reflected cross-site scripting (XSS) است که به دلیل پاک‌سازی نامناسب ورودی‌های کاربر ایجاد می‌شود و به مهاجم اجازه می‌دهد با برخی از تعاملات کاربر بتواند کد جاوااسکریپت را در پنجره‌یِ کاربرِ موردِ هدف تزریق کند.

محصولات تحت تأثیر
این آسیب‌پذیری‌ها محصولات زیر را تحت تأثیر قرار می‌دهند:

• VMware Workspace ONE Access (Access)
• VMware Workspace ONE Access Connector (Access Connector)
• VMware Identity Manager (vIDM)
• VMware Identity Manager Connector (vIDM Connector)
• VMware vRealize Automation (vRA)
• VMware Cloud Foundation
• vRealize Suite Lifecycle Manager

توصیه‌های امنیتی
راهنمای به‌روزرسانی و وصله‌های منتشر شده در لینک زیر آورده شده است:

https://www.vmware.com/security/advisories/VMSA-2022-0021.html

زبان برنامه نویسی go در تمام نسخه‌های قبل از 1.17.11 و از نسخه 1.18.0 تا قبل از نسخه 1.18.3 یک آسیب‌پذیری با شدت بالا (7.5 از 10) دارد. منشأ این آسیب‌پذیری تابع Read درکتابخانه /crypto/rand می‌باشد. حلقه نامحدود در این تابع به مهاجم این امکان را می‌دهد تا با ارسال یک بافر بزرگتر از 4294967295 بایتی به تایع، یک هنگ نامحدود را ایجاد نماید.
 

برای رفع این آسیب‌پذیری چهار ماژول این کتابخانه مطابق با اصلاحیه golang به کامیت شماره bb1f4416180511231de6d17a1f2f55c82aafc863 به شرح زیر تغییر یافته‌اند.

1- در ماژولrand.go :
 

2- ماژول rand_batched_test.go:
 

3- ماژول rand_unix:
 

4- ماژول rand_windows.go:
 

منابع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2022-30634#range-8145688
https://github.com/golang/go/commit/bb1f4416180511231de6d17a1f2f55c82aafc863

مخزن akashtalole/python-flask-restful-api در GitHub تا نسخه 2019-09-16 دارای #‫آسیب‌پذیری بحرانی (9.3 از 10) است. این آسیب‌پذیری در تابع send_file کتابخانه flask یافت می‌شود. چنانچه فراخوانی این تابع در ماژول /app/api/exports.py با ورودی نامناسب (دنباله‌ای از "dot-dot-slash (../)" یا مسیرهای کامل فایل‌ها) انجام شود، می‌تواند باعث حمله پیمایش مسیر شده و دسترسی به فایل‌ها و دایرکتورهای اختیاری را که خارج از پوشه ریشه وب قرار دارند، میسر ‌سازد.
ریشه این مساله در قطعه کد زیر نشان داده شده است؛ فراخوانی os.path.join برای استفاده با ورودی نامطمئن، امن نیست. هنگامی که os.path.join با استفاده از یک "مسیر کامل" فراخوانی می‌شود، تمام پارامترهای قبلی را نادیده گرفته و شروع به کار با مسیر کامل جدید می‌کند.

فراخوانی os.path.join با ورودی نامناسب

مشخصات آسیب‌پذیری CVE-2022-31571

برای رفع این آسیب‌پذیر بایستی از اعمال ورودی نامطمئن به تابع آسیب‌پذیر send_file جلوگیری کرد و در صورتی که مطابق با منطق برنامه، این کار ضرورت داشته باشد، می‌توان از werkzeug.utils.safe_join برای استفاده از مسیرهای نامطمئن بهره برد یا فراخوانی‌های flask.send_file را با flask.send_from_directory جایگزین نمود.

منابع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2022-31571#range-8131144
https://github.com/akashtalole/python-flask-restful-api/issues/2