هشت ماه پس از افشای یک ‫آسیب‌پذیری افزایش سطح دسترسی در مکانیسم IWA مربوط به سرور vCenter، سرانجام یک وصله امنیتی توسط Vmware منتشر شد. این آسیب‌پذیری توسط دو محقق به نام‌های Yaron Zinar و Sagi Sheinfeld از محققان شرکت امنیتی CrowdStrike گزارش شده بود.
جزئیات آسیب‌پذیری
به این آسیب‌پذیری شدت 7.1 و شناسه CVE-2021-22048 اختصاص داده شده است. آسیب‌پذیری مذکور بر بستر ابری ترکیبی Cloud Foundation و همچنین مکانیسم IWA که در سرور vCenter تعبیه شده است، تاثیر می‌گذارد. مهاجم با بهره‌برداری موفق از این آسیب‌پذیری بر روی سرور vCenter وصله نشده، برای اجرای کد مخربی که به دسترسی مدیریتی نیازی ندارد، می‌تواند دسترسی‌ خود را به دسترسی‌های یک گروه با امتیازات بالاتر ارتقاء دهد. این آسیب‌پذیری توسط Vmware بحرانی ارزیابی شده است و بدین معنی است که داده‌های یک کاربر به دلیل حملات مهاجمان یا اقداماتی که کاربر به صورت ناخواسته انجام می‌دهد در معرض خطر قرار می‌گیرند که منجر به خطر افتادن یکپارچگی یا محرمانگی داده‌ها می‌شود.
محصولات تحت تأثیر
محصولات VMware vCenter Server (vCenter Server) و VMware Cloud Foundation (Cloud Foundation) تحت تاثیر این آسیب‌پذیری قرار دارند.

• vCenter Server نسخه‌های 6.5 و 6.7 و 7.0
• Cloud Foundation (vCenter Server) نسخه‌های 3.x و 4.x

توصیه‌های امنیتی
از آنجایی که چندین نسخه از vCenter Server وجود دارد که تحت تاثیر این آسیب‌پذیری قرار دارند، Vmware نسخه vCenter Server 7.0 U3f را جهت رفع آسیب‌پذیری در vCenter Server 7.0 منتشر کرده است. برای سایر محصولات و نسخه‌های آسیب‌پذیر تاکنون وصله‌ای ارائه نشده است.
منبع خبر:

https://gbhackers.com/vmware-vcenter-server-flaw/

Juniper Networks به‌روزرسانی‌های امنیتی مختلفی را جهت رفع آسیب‌پذیری‌های تأثیرگذار بر چندین محصول خود منتشر کرد. مهاجم می‌تواند از این آسیب‌پذیری‌ها جهت کنترل سیستم تحت تأثیر، بهره‌برداری کند.

جزییات آسیب‌پذیری

CISA 31 آسیب‌پذیری بحرانی در Junos Space را برطرف کرده است، این مشکلات در چندین محصول third-party از جمله nginx resolver، Oracle Java SE، OpenSSH، Samba، RPM package manager، Kerberos، OpenSSL، Linux kernel، curl و MySQL Server وجود دارد.
شدیدترین نقص امنیتی مربوط به شناسه‌ی CVE-2021-23017 می‌باشد که دارای شدت 9.4 است و بر محصول NorthStar Controller تأثیر می‌گذارد، این نقص امنیتی به مهاجمی که قادر است بسته‌های UDP را جعل کند اجازه می‌دهد حافظه 1 بایتی را بازنویسی کرده و منجر به ایجاد مخاطره در برخی فرآیندها شود.
آسیب‌پذیری دیگری با شناسه CVE-2014-5044وجود دارد که مربوط به سرریز عدد صحیح در libgfortran است و به مهاجمان اجازه خواهد داد تا از راه دور کد دلخواه خود را اجرا کرده یا حمله‌ی انکار سرویس انجام دهد.
محصولات تحت تأثیر
این آسیب‌پذیری برخی از محصولات Juniper Networks از جمله Junos Space، Contrail Networking و NorthStar Controller را تحت تأثیر قرار می‌دهد.
توصیه‌های امنیتی
CISA به کاربران و مدیران توصیه می‌کند با مراجعه به صفحه مشاوره‌های امنیتی Juniper Networks، به‌روزرسانی‌های امنیتی منتشر شده برای برخی محصولات تحت تأثیر از جمله Junos Space نسخه‌های قبل از1.1R22، Contrail Networking و NorthStar Controller را در اسرع وقت اعمال کنند.

https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

منابع خبر:

https://securityaffairs.co/wordpress/133301/security/juniper-networks-critical-flaws.html
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/14/juniper-networks-releases-security-upd…

محققان امنیت سایبری نوع جدیدی از بدافزار ChromeLoader با هدف اصلی سرقت اطلاعات را کشف کردند. ویژگی‌ای که این نوع بدافزار را از سایر انواع پیشین آن متمایز می‌کند مجموعه‌ای از قابلیت‌هایی است که در یک بازه زمانی کوتاه در حال افزایش است.
ChromeLoader که عمدتاً جهت ربودن اطلاعات جستجوهای قربانیان در مرورگر و نمایش تبلیغات استفاده می‌شود، در ژانویه 2022 آشکار شد و در قالب دانلود فابل ISO یا DMG که از طریق کدهای QR در توییتر و سایت‌های رایگان بازی تبلیغ می‌شود، توزیع شده است.
این بدافزار همچنین با نام‌های Choziosi Loader و ChromeBack نیز شناخته می‌شود. چیزی که این نرم‌افزارهای تبلیغاتی را قابل توجه می‌کند این است که برخلاف فایل اجرایی ویندوز (.exe) یا dll ، به عنوان یک افزونه مرورگر طراحی شده است.
این بدافزار علاوه بر ارسال درخواست‌های تهاجمی جهت کسب مجوزهای دسترسی به داده‌های مرورگر و دستکاری درخواست‌های وب، به گونه‌ای طراحی شده است تا درخواست‌های موتور جستجوی کاربران در گوگل، Yahoo و Bing را شناسایی و ثبت کند.

براساس تجزیه و تحلیل‌های منتشر شده از Palo Alto Networks Unit، اولین حمله ناشی از بکارگیری این بدافزار در ماه دسامبر 2021 با استفاده از یک فایل اجرایی AutoHotKey-compiled رخ داده است. به گفته‌ی Nadav Barak، این بدافزار یک فایل اجرایی است که با AutoHotKey (AHK) نوشته شده و منتشرکنندگان آن در مدت زمان کوتاهی چندین نسخه کد مختلف را منتشر و از فریمورک‌های برنامه‌نویسی متعدد و ویژگی‌های پیشرفته‌ای نیز در آن استفاده کرده‌اند.

به گفته‌ی محققان امنیتی، این بدافزار هم سیستم‌عامل ویندوز و هم macOS را مورد هدف قرار می‌دهد.

منابع خبر:

https://thehackernews.com/2022/07/researchers-uncover-new-variants-of.html
https://masterjitips.com/researchers-uncover-new-variants-of-the-chromeloader-browser-hijacking-mal…

مهاجمان حوزه‌ی استخراج‌ ارز دیجیتال، با هدف قرار دادن منابع ابری، گیت‌هاب و ماشین‌های مجازیِ Azure را به صورت غیرقانونی مورد حمله قرار دادند. محققان در گزارشی اعلام کردند که مهاجمان می‌توانند با دانلود و نصب مخربانه ماینرهای ارزهای دیجیتال خود از runnerها یا سرورهای ارائه شده توسط گیت‌هاب برای اجرای pipelines و اتوماسیون سازمان سوءاستفاده کنند و از این طریق به کسب درآمد بپردازند.
گیت‌هاب یک پلتفرم یکپارچه‌سازی و تحویل پیوسته (CI/CD) است که به کاربران این امکان را می‌دهد تا ساخت، آزمایش و استقرار نرم‌افزار را خودکار کنند. توسعه‌دهندگان می‌توانند از این ویژگی برای ایجاد جریان‌های کاری استفاده کنند که هر درخواست pull به یک repository کد را ایجاد و آزمایش می‌کند، یا درخواست‌های pull ادغام شده را برای تولید، مستقر می‌کند.
هر دو رانر ویندوز و لینوکس بر روی ماشین‌های مجازی Standard_DS2_v2 در Azure میزبانی می‌شوند و دارای دو vCPU و 7 گیگابایت حافظه هستند.
محققان می‌گویند که کمتر از 1000، repository و بیش از 550 نمونه کد را شناسایی کرده‌اند که از مزیت این پلتفرم برای استخراج ارزهای دیجیتال با استفاده از رانرهای ارائه شده توسط GitHub استفاده می‎کنند. سرویس میزبانی کد متعلق به مایکروسافت از این مشکل مطلع شده است.
علاوه بر این، 11 repository کشف شد که انواع مشابهی از یک اسکریپت YAML حاوی دستوراتی برای استخراج سکه‌های Monero را در خود جای داده است که همگی بر روی یک کیف پول یکسان قرار دارند که نشان می‌دهد نتیجه کار یک فرد یا گروهی است که در یک راستا حرکت می‌کنند.
به گفته محققان، تا زمانیکه مهاجمان تنها از حساب‌های کاربری و repositoryهای خود استفاده می‌کنند، کاربران نباید دلیلی برای نگرانی داشته باشند. مشکلات زمانی ایجاد می‌شوند که این GHAها در GitHub Marketplace به اشتراک گذاشته می‌شوند و یا به عنوان یک وابستگی برای سایر Actionsها استفاده می‌شود.
گروه‌های استخراج کننده ارز، برای نفوذ به سیستم‌ها از یک نقص امنیتی در سیستم‌های هدف، مانند یک آسیب‌پذیری وصله نشده، پسوردهای ضعیف یا یک پیاده‌سازی ابری با پیکربندی نادرست، سوءاستفاده می‌کنند.
این مجموعه بدافزار همچنین از اسکریپت‌های kill برای خاتمه دادن و حذف ماینرهای ارزهای دیجیتال رقیب، برای سوء‌استفاده از سیستم‌های ابری به نفع خود استفاده می‌کنند.

محصولات تحت تأثیر
گیت‌هاب و ماشین‌های مجازی Azure تحت تاثیر این حملات قرار دارند.
به کاربران توصیه می‌شود در اسرع وقت نسبت به بروزرسانی و پیکربندی سیستم‌ها اقدام نمایند.

منبع خبر:

https://thehackernews.com/2022/07/cloud-based-cryptocurrency-miners.html

مایکروسافت دربه‌روزرسانی روز سه‌شنبه 12 جولای 2022، 84 ‫آسیب‌پذیری را در محصولات خود برطرف کرده است. از این 84 آسیب‌پذیری، 4 مورد دارای شدت بحرانی، 79 مورد مهم و یک مورد به عنوان ناشناخته طبقه‌بندی شده است.

آسیب‌پذیری‌ها شامل:

• 12 مورد Remote Code Execution
• 51 مورد Elevation of Privilege
• 5 مورد Denial of Service
• 11 مورد Information Disclosure
• 2 مورد Tampering
• 4 مورد Security Feature Bypass
• 1 مورد Unknown

طبق این نمودار، آسیب‌پذیری‌ Elevation of privilege (EoP) 59.3% و پس از آن،Remote Code Execution (RCE) 14% از آسیب‌پذیری‌های وصله‌شده در این ماه را تشکیل می‌دهند.
برخی از آسیب‌پذیری‌های مهم این ماه به شرح زیر می‌باشند:

CVE-2022-33675: آسیب‌پذیری ارتقاء سطح دسترسی در Azure Site Recovery
Azure Site Recovery، مجموعه‌ای از ابزارها با هدف ارائه‌ی خدمات بازیابی از فاجعه هنگام بروز رخداد است. این نقص به دلیل خطای مجوز دایرکتوری ایجاد می‌شود که به مهاجم اجازه می‌دهد از ربودن DLL برای ارتقاء سطح دسترسی خود به سطح SYSTEM استفاده کند. مایکروسافت همچنین چندین آسیب‌پذیری دیگر که Azure Site Recovery را تحت تأثیر قرار می‌دهد وصله کرده است.

CVE-2022-22047: ارتقاء سطح دسترسی در Windows CSRSS
یک آسیب‌پذیری EoP در زیرسیستم Windows Client Server Run-Time، که دارای شدت 7.8 از 10 بوده و به عنوان یک آسیب‌پذیری مهم طبقه‌بندی می‌شود. به گفته‌ی مایکروسافت اگرچه در زمان انتشار، جزئیات بیشتری از این آسیب‌پذیری به اشتراک گذاشته نشده، اما این نقص مورد بهره‌برداری قرار گرفته است. با این حال، این نوع آسیب‌پذیری احتمالاً به عنوان بخشی از فعالیت پس از تسخیر، زمانی که مهاجم به سیستم هدف دسترسی پیدا کند و یک برنامه‌ی ساختگی خاص را اجرا کند، مورد استفاده قرار گیرد. این نقص به طور فعال مورد سوءاستفاده قرار گرفته است و همین امر آن را در اولویت قرار می‌دهد.

CVE-2022-22022، CVE-2022-22041، CVE-2022-30206، CVE-2022-30226: آسیب‌پذیری ارتقاء سطح دسترسی در Windows Print Spooler
پس از سیل افشای آسیب‌پذیری‌ها توسط PrintNightmare در آگوست 2021، ژوئن 2022 اولین ماهی بود که مایکروسافت هیچ وصله‌ی امنیتی برای Print Spooler منتشر نکرد. در مجموع، مایکروسافت 4 آسیب‌پذیری با شدت بالا را در این سرویس وصله کرده است که همه‌ی آن‌ها براساس شاخص بهره‌برداری مایکروسافت تحت عنوان “Exploitation Less Likely” رتبه‌بندی شده‌اند. در حالی که این چهار آسیب‌پذیری تا حدودی امتیاز CVSSv3 یکسان دریافت کرده‌اند، اما در صورت سوءاستفاده، سطوح مختلفی از ارتقاء سطح دسترسی را برای مهاجمان فراهم می‌کنند. CVE-2022-22022 و CVE-2022-30226 فقط به مهاجم اجازه می‌دهند فایل‌های هدف را از روی سیستم حذف کند در حالی که CVE-2022-22041 و CVE2022-30206 می‌توانند سطح دسترسی مهاجم را به سطح دسترسی SYSTEM ارتقاء دهند.

CVE-2022-22038: آسیب‌پذیری اجراز کد از راه دور در Remote Procedure Call Runtime
این آسیب‌پذیری تمام نسخه‌های پشتیبانی‌شده‌ی ویندوز را تحت تأثیر قرار می‌دهد و دارای امتیاز 8.1 در سیستم CVSSv3 می‌باشد. در حالی که هیچ حق دسترسی نیاز نیست اما این امتیاز نشان‌دهنده‌ی پیچیدگی بالای حمله است و برای بهره‌برداری موفقیت‌آمیز از این نقص، اقدامات بیشتری توسط مهاجم نیاز است.

CVE-2022-22028، CVE-2022-20229، CVE-2022-22039: آسیب‌پذیری‌هایWindows Network File System
CVE-2022-22028 یک آسیب‌پذیری افشای اطلاعات است، در حالی که CVE-2022-22029 و CVE-2022-22039 آسیب‌پذیری‌های اجرای کد از اره دور در Windows Network File System (NFS) هستند. به هر سه نقص “Exploitation Less Likely” اختصاص داده شده است، زیرا این نقص‌ها دارای پیچیدگی حمله‌ی بالا هستند.

محصولات تحت تأثیر

• AMD CPU Branch
• Azure Site Recovery
• Azure Storage Library
• Microsoft Defender for Endpoint
• Microsoft Edge (Chromium-based)
• Microsoft Graphics Component
• Microsoft Office
• Open Source Software
• Role: DNS Server
• Role: Windows Fax Service
• Role: Windows Hyper-V
• Skype for Business and Microsoft Lync
• Windows Active Directory
• Windows Advanced Local Procedure Call
• Windows BitLocker
• Windows Boot Manager
• Windows Client/Server Runtime Subsystem
• Windows Connected Devices Platform Service
• Windows Credential Guard
• Windows Fast FAT Driver
• Windows Fax and Scan Service
• Windows Group Policy
• Windows IIS
• Windows Kernel
• Windows Media
• Windows Network File System
• Windows Performance Counters
• Windows Point-to-Point Tunneling Protocol
• Windows Portable Device Enumerator Service
• Windows Print Spooler Components
• Windows Remote Procedure Call Runtime
• Windows Security Account Manager
• Windows Server Service
• Windows Shell
• Windows Storage
• XBox

نحوه‌ی وصله یا به‌روزرسانی محصولات آسیب‌پذیر در لینک زیر آورده شده است:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Jul

منبع خبر:

https://www.tenable.com/blog/microsofts-july-2022-patch-tuesday-addresses-84-cves-cve-2022-22047

Fortinet مجموعه‌ای از آسیب‌پذیری‌های امنیتی که چندین محصول این شرکت را تحت تأثیر قرار می‌دهند برطرف نموده است، مجموعه‌ای از نقص‌های با شدت بالا، مانند باگ‌های path traversal در رابط مدیریت FortiDeceptor که ماشین‌های مجازی را به عنوان هانی‌پات برای نفوذگران شبکه مدیریت می‌کند. این غول امنیت سایبری مستقر در کالیفرنیا که بیش از یک سوم کل فایروال‌ها و سیستم‌های مدیریت تهدید یکپارچه را در سراسر جهان به خود اختصاص می‌دهد، تعداد زیادی به‌روزرسانی میان‌افزاری و نرم‌افزاری در روز سه‌شنبه 5 جولای منتشر کرده است.
• CVE-2022-26117: آسیب‌پذیری با شدت بالا (8.0 از 10) در حساب کاربری root پایگاه داده MySQL که محافظت نشده است و در محصول FortiNAC (کنترل دسترسی شبکه) وجود دارد. یک رمز عبور خالی _استفاده از رشته خالی برای رمز عبور_در فایل پیکربندی FortiNAC به مهاجم احرازهویت‌شده اجازه می‌دهد از طریق CLI به پایگاه داده‌های MySQL دسترسی پیدا کند.
• CVE-2022-30302: آسیب‌پذیری‌های path traversal با شدت بالا (7.9 از10) در رابط مدیریت محصول FortiDeceptor که ممکن است به مهاجم احرازهویت‌شده از راه دور اجازه دهد از طریق درخواست‌های وبِ ساختگی، فایل‌های دلخواه را از سیستم‌فایل اصلی بازیابی و حذف کند.
• CVE-2021-41031: آسیب‌پذیری ارتقاء سطح دسترسی با شدت بالا (7.8 از 10) از طریق حمله‌ی directory traversal در محصول FortiClient برای ویندوز، که ممکن است به یک مهاجم غیرمجاز محلی اجازه دهد تا سطح دسترسی خود را از طریق named pipe سرویس FortiESNAC به سطح دسترسی SYSTEM ارتقاء دهد.
• CVE-2021-43072: آسیب‌پذیری سرریز بافر مبتنی بر پشته با شدت بالا (7.4 از 10) از طریق اجرای دستورات ساختگی در CLI محصولات FortiAnalyzer، FortiManager، FortiOS و FortiProxy، که در واقع نقص کپی بافر بدون بررسی اندازه ورودی است _آسیب‌پذیری Classic Buffer Overflow_ که به یک مهاجم دارای حق دسترسی اجازه می‌دهد کد یا دستورات دلخواه خود را از طریق عملیات `execute restore image` و `execute certificate remote` در CLI ساختگی با پروتکل TFTP اجرا نماید.

این آسیب‌پذیری‌ها محصولات Fortinet را به شرح زیر تحت تأثیر قرار می‌دهند:

• CVE-2022-26117:

• CVE-2022-30302:

• CVE-2021-41031:

• CVE-2021-43072:

به کاربران توصیه می‌شود نسخه‌های آسیب‌پذیر محصولات Fortinet خود را به نسخه‌های به‌روزرسانی‌شده که در جداول فوق آورده شده‌اند ارتقاء دهند.
منابع:

[1] https://securityaffairs.co/wordpress/133059/security/fortinet-multiple-issues-several-products.html
[2] https://www.fortiguard.com/psirt/FG-IR-21-190
[3] https://www.fortiguard.com/psirt/FG-IR-21-206
[4] https://www.fortiguard.com/psirt/FG-IR-21-213
[5] https://www.fortiguard.com/psirt/FG-IR-22-058

محققان سایبری در خصوص موج مداوم حملات گروهی به نام Raspberry Robin که یک بدافزار ویندوز با قابلیت‌های کرم را منتشر می‌کنند، هشدار می‌دهند. در این حملات یک کرم از طریق دستگاه‌های USB با قابلیت جابجایی که حاوی یک فایل مخرب . LNK است منتشر می‌شود و از دستگاه‌های ذخیره‌سازی متصل به شبکه QNAP که آسیب‌دیده هستند جهت انجام فرآیندهای مربوط به کنترل و فرمان در دستگاه استفاده می‌کند.
این بدافزار که به نام کرم QNAP هم شناخته می‌شود، از یک باینری مجاز نصب‌کننده ویندوز به نام "msiexec.exe" جهت دانلود و اجرای یک کتابخانه مشترک (DLL) مخرب از یک دستگاه QNAP NAS آسیب‌دیده استفاده می‌کند.
پایداری این کرم در دستگاه آسیب‌پذیر، با تغییرات Windows Registry جهت بارگیری پی‌لود مخرب بدست می‌آید که این امر از طریق باینری ویندوز "rundll32.exe" در فاز راه‌اندازی صورت می‌پذیرد.
 

QNAP اعلام کرد که به طور ویژه در حال بررسی موج جدیدی از آلودگی‌های باج‌افزار Checkmate است که دستگاه‌هایش را مورد هدف قرار می‌دهد، به طوری که پس از باج‌افزارهای AgeLocker، eCh0raix و DeadBolt، آن را به جدیدترین نوع از باج‌افزارها تبدیل کرده است. تحقیقات اولیه نشان می‌دهد که باج‌افزار Checkmate از طریق سرویس‌های SMB که در معرض اینترنت قرار دارند، حمله خود را شروع کرده و از dictionary attack جهت پیداکردن رمزعبور سیستم استفاده می‌کنند. هنگامی که مهاجم با موفقیت به دستگاهی وارد می‌شود، داده‌ها را در پوشه‌های مشترک رمزگذاری کرده و یادداشتی که نام فایل آن "!CHECKMATE_DECRYPTION_README" می‌باشد را در هر پوشه قرار می‌دهد.
شرکت تایوانی QNAP به مشتریان توصیه می‌کند که خدمات SMB را در معرض اینترنت قرار ندهند، از رمزهای عبور قوی استفاده کنند، به طور منظم نسخه پشتیبان تهیه کنند و سیستم عامل QNAP را به آخرین نسخه‌ی منتشر شده، به‌روزرسانی کنند.

منبع:

https://thehackernews.com/2022/07/researchers-warn-of-raspberry-robins.html

چندین ‫آسیب‌پذیری در API و رابط مدیریت تحت‌وب نرم‌افزارهای Cisco Expressway Series و Cisco TelePresence Video Communication Server (VCS) سیسکو وجود دارد که برای مهاجم از راه دور امکان بازنویسی فایل‌های دلخواه یا حملات null byte poisoning را بر روی دستگاه آسیب‌پذیر (چنانچه دارای پیکربندی پیش‌فرض باشد) فراهم می‌کند.
• CVE-2022-20812: آسیب‌پذیری بازنویسی فایل دلخواه در نرم‌افزارهای Cisco Expressway و Cisco TelePresence VCS با شدت بحرانی (9.0 از 10)، که به مهاجم احرازهویت‌شده از راه دور با دسترسی خواندن/ نوشتن مدیر (Administrator) در برنامه‌ی کاربردی، اجازه می‌دهد حملات path traversal را بر روی دستگاه آسیب‌پذیر انجام دهد و فایل‌ها را در سیستم‌عامل بستر به عنوان کاربر root بازنویسی نماید. این نقص به دلیل اعتبارسنجی ناکافی آرگومان‌های دستوری کاربر ایجاد می‌شود و مهاجم می‌تواند با احرازهویت در سیستم به عنوان کاربر دارای حق دسترسی خواندن/نوشتن مدیر و با ارسال یک ورودی دستکاری‌شده به دستور آسیب‌پذیر، از این نقص سوءاستفاده نماید. بهره‌برداری موفق از این آسیب‌پذیری برای مهاجم امکان بازنویسی فایل‌های دلخواه را در سیستم‌عامل بستر به عنوان کاربر root فراهم می‌کند.
• CVE-2022-20813: آسیب‌پذیری Null Byte Poisoning در اعتبارسنجی گواهی‌نامه‌ی‌ نرم‌افزارهای Cisco Expressway و Cisco TelePresence VCS با شدت بالا (7.4 از 10)، که امکان دسترسی غیرمجاز به داده‌های حساس را برای مهاجم احرازهویت‌نشده از راه دور فراهم می‌کند. این نقص به دلیل اعتبارسنجی نامناسب گواهی‌‌نامه ایجاد می‌شود و یک مهاجم با استفاده از تکنیک man-in-the-middle به منظور دریافت ترافیک بین دستگاه‌ها و سپس استفاده از گواهی ساختگی برای جعل هویت نقطه مقصد می‌تواند از این نقص سوءاستفاده نماید. بهره‌برداری موفق از این آسیب‌پذیری به مهاجم اجازه می‌دهد ترافیک دریافت‌شده در تکنیک man-in-the-middle را به صورت متن واضح مشاهده کند و یا محتوای ترافیک را تغییر دهد.

این آسیب‌پذیری‌ها محصولات زیر را تحت تأثیر قرار می‌دهند:

• نرم‌افزارCisco Expressway Series نسخه 14.0 و نسخه‌های قبل از آن.
• نرم‌افزارCisco TelePresence VCS نسخه 14.0 و نسخه‌های قبل از آن.

سیسکو به منظور رفع آسیب‌پذیری‌های مذکور به‌روزرسانی‌های نرم‌افزاری منتشر نموده و هیچ اقدام کاهشی برای رفع موقت این آسیب‌پذیری‌ها وجود ندارد، لذا به کاربران توصیه می‌شود هر چه سریع‌تر مطابق جدول زیر محصولات آسیب‌پذیر خود را به نسخه‌های به‌روزرسانی‌شده ارتقاء دهند.
 

منبع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-overwrite…

یک باج‌افزار جدید به نام RedAlert یا N13V، با حمله به شبکه‌های سازمانی، سرورهای ویندوز و VMWare ESXi لینوکس را رمزگذاری می‌کند. این حمله جدید توسط تیم MalwareHunterTeam کشف و افشا شد. Linux encryptor جهت مورد هدف قرار دادن سرورهای VMware ESXi تعبیه شده‌اند و آپشن‌های command-line نیز به مهاجم اجازه خواهند داد تا پیش از رمزگذاری فایل‌ها، ماشین‌های مجازی در حال اجرا را خاموش کنند. لیست کامل آپشن‌های command-line به صورت زیر می‌باشد:
 

هنگام اجرای باج‌افزار توسط آرگمان '-w'، Linux encryptor تمام ماشین‌های مجازی VMware ESXi در حال اجرا را با استفاده از دستور esxcli زیر خاموش می کند:
 

هنگام رمزگذاری فایل‌ها، باج‌افزار از الگوریتم رمزگذاری کلید عمومی NTRUEncrypt که از «Parameter Set»های مختلفی پشتیبانی می‌کند استفاده می‌کند. یکی از ویژگی‌های جالب RedAlert/NV13 آپشن خط فرمان «-x» است که «تست عملکرد رمزنگاری نامتقارن » را با استفاده از این مجموعه‌های مختلف پارامتر NTRUencrypt انجام می‌دهد. گفتنی است که تنها عملیات باج افزار دیگری که برای استفاده از این الگوریتم رمزگذاری شناخته شده است، FiveHands است.
 

هنگام رمزگذاری فایل‌ها، باج‌افزار فقط فایل‌های مرتبط با ماشین‌های مجازی VMware ESXi، از جمله فایل‌های لاگ، فایل‌های swap، دیسک‌های مجازی و فایل‌های حافظه را که در زیر فهرست شده است، مورد هدف قرار می‌دهد:

در نمونه‌ای که توسط BleepingComputer آنالیز شده است، باج‌افزار این نوع فایل‌ها را رمزگذاری کرده و ضمیمه می‌کند.
 

در هر پوشه، باج‌افزار یک note به نام HOW_TO_RESTORE ایجاد می‌کند که حاوی توضیحاتی درباره داده‌های به سرقت رفته و لینک مرتبط با یک سایت پرداخت باج TOR است.
 

تقریبا مانند عملکرد تمام باج‌افزارهای جدیدی که سازمان‌ها مورد هدف قرار می‌دهند، RedAlert نیز حملات اخاذی مضاعف انجام می‌دهد یعنی پس از به سرقت بردن داده‌ها، باج‌افزار برای رمزگذاری دستگاه‌ها مستقر می‌شود.
در این حمله، اخاذی به دو صورت انجام می‌گیرد یعنی مهاجمان علاوه بر درخواست باج برای رمزگشایی، برای جلوگیری از نشت اطلاعات سرقت شده هم تقاضای باج می‌کنند. در صورتیکه قربانی باجی پرداخت نکند، گروه RedAlert داده‌های سرقت شده را در سایت خود منتشر کرده و در معرض عموم قرار می‌دهند.
در حالی که فعالیت زیادی با باج افزار جدید N13V/RedAlert صورت نگرفته است، اما به دلیل اهمیت آن، قطعاً باید مراقب باشیم.
منبع:

https://www.bleepingcomputer.com/news/security/new-redalert-ransomware-targets-windows-linux-vmware…

شرکت گوگل یک بروزرسانی امنیتی را جهت رفع یک ‫آسیب‌پذیری روز صفر با شدت بالا در مرورگر کروم منتشر کرده است.
جزئیات آسیب‌پذیری
آسیب‌پذیری وصله شده با شناسه "CVE-2022-2294" به نقص سرریز پشته در مؤلفه WebRTC مربوط می‌شود که بدون نیاز به نصب افزونه‌ها یا دانلود اپلیکیشن‌های محلی، قابلیت‌های ارتباط صوتی و تصویری همزمان را در مرورگرها فراهم می‌کند.
سرریزهای بافر پشته که به آن سرریز پشته یا شکسته شدن پشته نیز گفته می‌شود، زمانی رخ می‌دهد که داده‌ها در ناحیه پشته حافظه بازنویسی می‌شوند، بهره‌برداری موفق از سرریز پشته در این آسیب‌پذیری منجر به اجرای کد دلخواه یا حمله انکار سرویس می‌شود.
محصولات تحت تأثیر
مرورگر گوگل کروم در هر دو پلتفرم ویندوز و اندروید تحت تاثیر این آسیب‌پذیری قرار دارند.
توصیه‌های امنیتی
گوگل نسخه 103.0.5060.114 کروم را جهت رفع آسیب‌پذیری مذکور، منتشر کرده است، به کاربران توصیه می‌شود مرورگر خود را در اسرع وقت به‌روزرسانی کنند. برای این کار مسیر Chrome menu > Help > About Google Chrome را دنبال کنید.

منابع خبر:

https://www.bleepingcomputer.com/news/security/google-patches-new-chrome-zero-day-flaw-exploited-in…
https://thehackernews.com/2022/07/update-google-chrome-browser-to-patch.html