یک آسیب‌پذیری بحرانی با شناسه CVE-2020-26071 و شدت 8.4 در CLI نرم‌افزار Cisco SD-WAN کشف شده است، که به دلیل اعتبار سنجی ورودی ناکافی در استفاده از دستورات خاص رخ می‌دهد. مهاجم با ایجاد یا بازنویسی فایل‌های دلخواه در دستگاه، این اجازه را دارد که به دسترسی غیرمجاز برسد و داده‌های حساس را تغییردهد. شرایط منع سرویس (DoS) ایجاد می‌شود. مهاجم با گنجاندن آرگومان‌های ساختگی در دستورات ذکرشده از این آسیب‌پذیری به بهره‌برداری ازبرنامه می‌رسد.
 

محصولات آسیب‌پذیر
 

 دستگاه‌های Cisco SD-WAN vEdge تحت تأثیر این آسیب‌پذیری قرار گرفته‌اند.
 

توصیه‌ امنیتی
 

به کاربران توصیه می‌شود در اسرع وقت نسخه‌های آسیب‌پذیر را به روزرسانی کنند.


منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2020-26071
[2]https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-vsoln-arbfile-gtsEYxns.htm

یک آسیب‌پذیری درGitHub کشف شده است، که مهاجمان ازطریق درخواست‌‏های Pull و Commit مخرب جهت تزریق درب پشتی بر روی پروژه‏‌های منبع ‏باز در GitHub استفاده می‌نمایند. نمونه‌ای از این حملات، تلاش برای آلوده‌‏سازی پروژه‏‌های Exo Labs (فعال در حوزه هوش مصنوعی و یادگیری ماشین) وyt-dlp (یک دانلودکننده صوتی و تصویری منبع‌باز) بوده، که نگرانی‌هایی در مورد امنیت پروژه‌های منبع‌باز ایجاد کرده است. همچنین در 18 پروژه منبع باز دیگر، درخواست‏‌های pull مشابهی برای تزریق کد انجام شده است. این حادثه، یادآور حمله زنجیره تأمین xz است که چگونه مهاجمان کدهای مخرب را وارد کتابخانه های منبع باز قانونی و پرطرفدار کرده‌اند. این حملات با ارسال Commit‏های آلوده به این پروژه‏‌ها انجام شده است. مهاجمان جهت ارسال کامیت‏‌ها، یک اکانت GitHub جعلی ساخته‏‌اند که در آن از اطلاعات و عکس پروفایل شخصی شناخته شده دیگری بهره‌برداری کرده‌‏اند. کدهای مخرب ارسال‌شده شامل دستورات مخربی است. این آسیب‌پذیری می‌تواند منجر به خطرجدی در زیرساخت‌های پروژه یا حتی سرقت داده‌های حساس کاربران شود. تاکنون این Commitها از سوی کاربرانی با نام‏‌های evildojo666 و darkimage666 در GitHub ارسال شده که به محض شناسایی حذف شده‌اند. نمونه‌ها‏یی از کدهای مخرب تزریق شده در زیر نمایش داده شده است:
دراین حمله دنباله کاراکترهای ("105، 109، 112، 111، 114، 116،...") به قطعه کد تبدیل می‌شوند، که سعی می‌کند به evidojo (.) com متصل شود تا پیلود اصلی را دانلود کند. اگر تغییر کد، تایید شده باشد، در مخزن EXO ادغام می شود. 

 

توصیه امنیتی

به کاربران توصیه می‌‏شود درخواست‏‌های pull را به پروژه‏‌های خود حتی هنگامی که از فرد شناخته شده‌‏ای دریافت می‌کنند با دقت بیشتری مورد بررسی قرار بدهند.


منبع خبر:

https://www.bleepingcomputer.com/news/security/github-projects-targeted-with-malicious-commits-to-f…

یک آسیب‌پذیری بحرانی با شناسه CVE-2023-20036 و شدت ۹.۹ در رابط وب Cisco Industrial Network Director (IND) کشف شده است. که به دلیل اعتبارسنجی نادرست ورودی در فرآیند بارگذاری بسته‌ Device Pack ایجاد می‌شود. مهاجم می‌تواند از راه دور و با دسترسی مدیریتی با دستکاری درخواست‌های ارسالی هنگام بارگذاری این بسته‌ ها،به صورت موفقیت‌آمیز دستورات دلخواه را با امتیازات NT AUTHORITY\SYSTEM به روی سیستم هدف اجرا کند.

محصولات آسیب‌پذیر

این نسخه‌های Cisco Industrial Network Director تحت تأثیر این آسیب‎‌پذیری قرار گرفته‌اند:  

•    1.0.0
•    1.0.1
•    1.1.0
•    1.2.0
•    1.3.0
•    1.4.0
•    1.5.0
•    1.6.0

•    1.7.0
•    1.8.0
•    1.9.0
•    1.10.0
•    1.11.0
•    1.11.1
•    1.11.2 
 

توصیه‌ امنیتی

به کاربران توصیه می‌شود جهت رفع این آسیب‌پذیری نسخه های آسیب‌پذیر را به نسخه 1.11.3 یا بالاتر به‌روزرسانی کنند.


منابع خبر:

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-20036 
[2]https://thehackernews.com/2023/04/cisco-and-vmware-release-security.html?m=1 
[3]https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ind-CAeLFk6V    

یک آسیب‌پذیری بحرانی با شناسه CVE-2024-11237 و شدت 8.7 در مدل روتر TP-Link VN020 F3v کشف شده است. این نقص امنیتی از نوع Buffer Overflow در سرویس DHCP ایجاد شده است. با ارسال یک بسته DHCP DISCOVER و دستکاری آرگومان hostname، این آسیب‌پذیری فعال می‌شود. این حمله از راه دور امکان پذیر است و این امکان را به مهاجم می‌دهد که کد دلخواه را اجرا کند. علاوه بر این آسیب‌پذیری مذکور می‌تواند منجر به حملات Denial of Service (DOS) نیز شود.


محصولات تحت تأثیر

توصیه امنیتی

جهت رفع این آسیب‌پذیری به کاربران توصیه می‌شود که به طور موقت سرویس DHCP مودم را غیرفعال کنند تا از بروز این آسیب‌پذیری جلوگیری شود.


منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-11237

یک آسیب‌پذیری با شناسه CVE-2024-51141 و شدت 7.8 (بالا) در (bluetooth dongle) مدل A600UB از شرکت TOTOLINK کشف شده است. مهاجم با استفاده از این نقص امنیتی می‌تواند کد دلخواه را از طریق مولفه WifiAutoInstallDriver.exe و MSASN1.dll اجرا کند. براساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H: بهره‌برداری از آن از طریق شبکه محلی قابل تکرار است (AV:L/AC:L)، این حمله بدون نیاز سطح دسترسی اولیه و با تعامل کاربر انجام می‌شود (PR:N/UI:R)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد(S:U)، این آسیب‌پذیری سه ضلع امنیت را با شدت بالا تحت تاثیر قرار می دهد(C:H/I:H/A:H)
 

محصولات تحت تأثیر

تا کنون این آسیب‌پذیری تنها در محصول A600UB کشف شده است.
 

توصیه امنیتی

به کاربران توصیه می‌شود در اسرع وقت فایل های بارگذاری شده رابه طور کامل اعتبار سنجی کنند و همچنین مسیر های جست‌وجوی فایل های DLL را مدیریت کنند.

 

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-51141
[2]https://infosecwriteups.com/dll-hijacking-in-totolink-a600ub-driver-installer-13787c4d97b4

یک آسیب‌پذیری با شناسه CVE-2024-10924 و شدت 9.8 (بحرانی) در افزونه وردپرس Really Simple Security کشف شده است. این امکان را برای مهاجم فراهم می‌کند که کنترل کامل مدیریتی وب‌سایت‌های مجهز را در دست بگیرد. نام قبلی این افزونه Really Simple Security بوده است، که اخیرا ویژگی‌های امنیتی زیادی از جمله محافظت در قسمت ورود، تشخیص آسیب‌پذیری و تایید هویت دو مرحله‌ای را به قابلیت های خود اضافه کرده است. یکی از این ویژگی‌ها (تایید هویت دو مرحله‌ای) به طور غیرامن پیاده‌سازی شده و به مهاجم اجازه می‌دهد در صورت فعال بودن کنترل هر نوع حساب کاربری با هر سطح دسترسی را عهده بگیرد.

از تابع ()skip_onboarding درکلاس Rsssl_Two_Factor_On_Board_Api جهت بررسی احراز هویت از طریق RESTAPI استفاده‌‌‌‌ می‌شود و تابع ()check_login_and_get_user با استفاده از پارامترهای user_id و login_nonce کاربر را تایید اعتبار می‌کند. مشکل اصلی در این آسیب‌پذیری زمانی ایجاد می‌شود که تابع در صورت خطا WP_REST_Response را بر می‌گرداند، چنانچه nonce معتبر نباشد پردازش بر روی  تابع ادامه پیدا می‌کند و تابع ()authenticateandredirect فراخوانی می‌شود. در نهایت کاربر بر اساس user id اگرهویتش تایید نشده باشد، می‌تواند به حساب وارد شود. این نقص امنیتی امکان دور زدن تصدیق هویت و دسترسی به هر نوع حسابی از جمله حساب کاربری مدیر را فراهم می‌نماید.

 

نسخه‌های تحت تاثیر

 نسخه‌ 9.0.0 تا 9.1.1.1 افزونه‌های‌ وردپرس تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند:

• Really Simple Security
• Really Simple Security Pro
• Really Simple Security Pro Multisite

توصیه امنیتی

به کاربران توصیه می‌شود که نسخه‌های آسیب‌پذیر را به نسخه 9.1.2 ارتقاء دهند.

 

منابع خبر:

[1]https://www.cve.org/CVERecord?id=CVE-2024-10924
[2]https://www.wordfence.com/blog/2024/11/really-simple-security-vulnerability/

یک آسیب‌پذیری بحرانی با شناسه CVE-2024-43639 و شدت 9.8 درWindows Kerberos کشف شده است. Kerberos پروتکل احراز هویتی است، که با تبادل پیام های رمزگذاری شده بین سرویس دهنده و گیرنده به منظور تأیید هویت کاربر و میزبان استفاده می‌شود. این نقص امنیتی برای مهاجم اجازه می‌دهد که با دور زدن مکانیزم این پروتکل، بدون نیاز به احراز هویت اولیه به سیستم نفوذ کند و کد دلخواه را اجرا کند.
 

محصولات آسیب‌پذیر

این آسیب‌پذیری تمام نسخه‌های پشتیبانی شده ویندوز سرور را تحت تأثیر قرار می دهد:

•    ویندوز سرور 2012
•    ویندوز سرور 2016
•    ویندوز سرور 2019
•    ویندوز سرور 2022
•    ویندوز سرور ۲۰۲۵ (شامل هسته سرور) 

توصیه‌ امنیتی

به کاربران توصیه می‌شود جهت رفع این مشکل نسخه های آسیب‌پذیر را به نسخه های بالاتر به روزرسانی کنند.
 

منابع خبر:

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43639 
[2]https://www.rapid7.com/blog/post/2024/11/12/patch-tuesday-november-2024/

دو آسیب‌پذیری بحرانی با شناسه CVE-2024-43602 شدت (9.9) و CVE-2024-49060 شدت (8.8) درAzure Microsoft کشف شده است. که در ابزار HCI قابلیت این را به همراه دارد دسترسی خود را از کاربر معمولی به مدیر (administrator) تغییر دهد و در ابزار HPC جهت مدیریت محیط‌های محاسبات با کارایی بالا طراحی شده است. مهاجم با مجوزهای اولیه کاربر و دسترسی به شبکه می‌تواند به ارسال درخواست‌های خاص بپردازد و در نتیجه پیکربندی یک گروه از Azure CycleCloud را تغییر دهد. بهره‌برداری از این دو آسیب‌پذیری می‌تواند منجر به افزایش سطح دسترسی مهاجم شود که از این طریق، دستورات دلخواه را اجرا کند.

 
محصولات آسیب‌پذیر

نسخه‌های زیر تحت تأثیر این آسیب‌پذیری قرار گرفته‌اند: 

•    Azure CycleCloud 8.0.0
•    Azure CycleCloud 8.0.2
•    Azure CycleCloud 8.1.0
•    Azure CycleCloud 8.1.1
•    Azure CycleCloud 8.2.0
•    Azure CycleCloud 8.2.1
•    Azure CycleCloud 8.2.2
•    Azure CycleCloud 8.3.0
•    Azure CycleCloud 8.4.0
•    Azure CycleCloud 8.4.1
•    Azure CycleCloud 8.4.2
•    Azure CycleCloud 8.5.0
•    Azure CycleCloud 8.6.0
•    Azure CycleCloud 8.6.1
•    Azure CycleCloud 8.6.2
•    Azure CycleCloud 8.6.3
•    Azure CycleCloud 8.6.4
 

توصیه‌ امنیتی

به کاربران توصیه می‌شود جهت رفع این آسیب‌پذیری مراحل زیر را اجرا کنند:

• در اسرع وقت آخرین به روز رسانی های امنیتی را برای Azure CycleCloud اعمال کنید.
• جهت کاهش بهره برداری احتمالی از سوی مهاجم ، مجوزهای کاربر را بررسی و محدود کنید.


 منابع خبر:

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43602    
[2]https://www.theregister.com/2024/11/13/november_patch_tuesday/
[3]https://nvd.nist.gov/vuln/detail/CVE-2024-49060
[4]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49060
[5]https://windowsforum.com/threads/cve-2024-49060-urgent-azure-stack-hci-vulnerability-needs-attentio…

یک آسیب‌پذیری با شناسه CVE-2024-10245 و با شدت 9.8 (بحرانی) در افزونه Relais 2FA کشف شده است. افزونه Relais 2FA از طریق احرازهویت دو مرحله‌ای یک لایه امنیت را به سیستم ورود، وردپرس اضافه می‌کند. مهاجم برای ورود به حساب کاربران باید علاوه بر رمز عبور خود، کد OTP یا نوع دیگری از تاییدیه را که اغلب از طریق ایمیل یا برنامه‌ هایی مانند Google Authenticator به دست آورد. این نقص امنیتی به دلیل عدم بررسی صحیح اعتبارسنجی و سطح دسترسی در تابع rl_do_ajax ایجاد می‌شود.از این تابع جهت اجرای عملیات‌ AJAX استفاده می‌شود. اما در نسخه‌های آسیب‌پذیر، این تابع درستی سطح دسترسی‌ و اعتبارسنجی‌ را بررسی نمی‌کند. این امکان برای مهاجم فرهم می‌شود با دسترسی به آدرس ایمیل کاربر، بتوانند بدون ورود به سایت وارد شود. این دسترسی شامل حساب‌های مدیریتی نیز می گردد که امکان کنترل کامل روی سایت را نیز برای مهاجم به همراه دارد.
 

محصولات تحت تاثیر

نسخه 1.0 و نسخه های قبل تر از  آن تحت تاثیر این آسیب‌پذیری هستند.
 

توصیه‌های امنیتی

به کاربران توصیه می‌شود که در اسرع وقت افزونه به نسخه بالاتراز 1.0به روزرسانی گردد، و از سایر افزونه‌های شناخته شده و معتبر جهت احراز هویت دو مرحله‌ای استفاده کنید. 

 

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-10245
[2]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/relais-2fa/relais-2fa-10-a…
[3]https://www.cvedetails.com/cve/CVE-2024-10245//

یک آسیب‌پذیری با شناسه CVE-2024-39712 و شدت 9.1 (بحرانی) در دو محصول نرم افزاری Connect Secure و Policy Secure از شرکت Ivanti کشف شده است. مهاجم با استفاده از این نقص امنیتی می‌تواند به اجرا کد از راه دو (remote code execution) دست یابد. براساس بردار حمله این آسیب‌پذیری CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H: بهره‌برداری از آن از طریق شبکه خارجی و از راه و با پیچیدگی کم قابل تکرار است (AV:N/AC:L)، این حمله با سطح دسترسی بالا و بدون تایید کاربر انجام می‌شود (PR:H/UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C)، این آسیب‌پذیری سه ضلع امنیت را با شدت بالا تحت تاثیر قرار می دهد (C:H/I:H/A:H)

 

محصولات تحت تاثیر

توصیه امنیتی

تا کنون هیچ راهکار مناسبی جهت رفع این آسیب‌پذیری ارائه نشده است. به کاربران توصیه می‌شود در صورت انتشار نسخه های بالاتر، نسخه های آسیب‌پذیر را به آن وصله کنند.


 

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-39712
[2]https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-ICS-Ivanti-Policy-Secur…