اصلاحیه‌های عرضه شده در آذر 1399

در آذر ۱۳۹۹، شرکت‌های مایکروسافت، سولارویندز، سیسکو، مک آفی، بیت‌دیفندر، ادوبی، وی‌اِم‌وِر، گوگل، موزیلا، اپل و اس‌آپ و بنیادهای دروپل، آپاچی و اوپن‌اس‌اس‌ال اقدام به عرضه به‌روزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند.

مایکروسافت

18 آذر، شرکت مایکروسافت (Microsoft Corp) مجموعه‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی دسامبر منتشر کرد. اصلاحیه‌های مذکور 58 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند. شدت اهمیت 9 مورد از این آسیب‌پذیری‌های ترمیم شده “حیاتی”، 48 مورد از آنها “مهم” (Important) و دو مورد دیگر “متوسط” (Moderate) گزارش شده است.

مایکروسافت در توصیه‌نامه‌ای به یک آسیب‌پذیری موسوم به “مسموم‌سازی حافظه نهان DNS” یا DNS Cache Poisoning پرداخته که توسط محققان دانشگاه‌های چینهوا و کالیفرنیا کشف شده‌ بود. در توصیه‌نامه ضمن تایید وجود این آسیب‌پذیری، مایکروسافت آن را نتیجه وجود باگی در IP Fragmentation در Windows DNS Resolver دانسته است. بهره‌جویی موفق از این آسیب‌پذیری می‌تواند مهاجم را قادر به جعل بسته‌های DNS و ذخیره شدن اطلاعات نادرست در حافظه نهان توسط DNS Forwarder یا DNS Resolver شود.

برای ترمیم این آسیب‌پذیری، راهبران می‌توانند از طریق Registry مقدار حداکثری UDP را به 1,221 تغییر دهند. در این صورت برای درخواست‌های DNS بزرگ‌تر از مقدار مذکور، DNS Resolver اقدام به تغییر پودمان از UDP به TCP می‌کند. توصیه‌نامه مایکروسافت در این خصوص در لینک زیر قابل دریافت است:

• https://msrc.microsoft.com/update-guide/en-US/vulnerability/ADV200013

از جمله آسیب‌پذیری‌های شاخص که توسط اصلاحیه‌های دسامبر ترمیم شدند می‌توان به موارد زیر اشاره کرد:

• CVE-2020-17095 که ضعفی از نوع “اجرای کد به‌صورت از راه دور” (Remote Code Execution) است که بستر مجازی‌سازی Hyper-V از آن تأثیر می‌پذیرد. بهره‌جویی موفق از این آسیب‌پذیری مهاجم را قادر می‌کند تا از روی ماشین مجازی اقدام به اجرای کد مورد نظر خود بر روی دستگاه میزبان کند.
• CVE-2020-17096 ضعفی از نوع “اجرای کد به‌صورت از راه دور” در Windows NTFS است. سوءاستفاده از آن به‌صورت محلی (Locally) منجر به ترفیع سطح دسترسی و بهره‌جویی از آن به‌صورت از راه دور در بستر SMBv2 سبب اجرای فرامین مورد نظر مهاجم خواهد شد.
• CVE-2020-17099 ضعفی است که سوءاستفاده از آن موجب بی‌اثر شدن بخش قابلیت امنیتی Lock Screen در Windows شده و مهاجم با دسترسی محلی را قادر به اجرای کد بر روی دستگاه قفل شده می‌کند.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه اصلاحیه‌های ماه دسامبر مایکروسافت در لینک زیر قابل مطالعه است:

• https://newsroom.shabakeh.net/21908

سولارویندز

۱۸ آذر، شرکت امنیتی فایرآی (FireEye Inc) رسماً اعلام کرد که سیستم‌هایش در جریان حمله‌ای بسیار پیچیده، مورد رخنه قرار گرفته است. به گفته فایرآی، مهاجمان این حمله با بکارگیری تکنیک‌های جدید موفق به سرقت ابزارهایی دیجیتال شده‌اند که این شرکت از آنها با عنوان Red Team یاد می‌کند. فایرآی از ابزارهای Red Team به‌منظور شناسایی آسیب‌پذیری سیستم‌ها در شبکه مشتریان خود استفاده می‌کرده است. گفته می‌شود که از این ابزارها به‌شدت مراقبت می‌شده است. در آن زمان تصور می‌شد که هدف اصلی مهاجمان، سرقت ابزارهای Red Team بوده است. اما خیلی زود مشخص شد که اهداف حملات بسیار گسترده‌تر از یک شرکت امنیتی بوده و بسیاری از شرکت‌ها و حتی سازمان‌ها و نهادهای مطرح نه فقط در ایالات متحده که در کشورهای متعدد در تسخیر مهاجمان قرار گرفته بودند.

مهاجمان این حملات با بهره‌گیری از تکنیک موسوم به زنجیره تأمین (Supply Chain) پس از هک شرکت سولارویندز (SolarWinds Inc) موفق به آلوده‌سازی یکی از فایل‌های نرم‌افزار Orion با نام SolarWinds.Orion.Core.BusinessLayer.dll و در عمل تبدیل آن به یک درب‌پشتی (Backdoor) شده بودند.

با این حال با توجه به گسترده بودن دامنه این حملات و پیچیدگی آنها ممکن است که مهاجمان از تکنیک‌های دیگری نیز برای رخنه به اهداف خود بهره برده باشند.

جزییات بیشتر در خصوص این حملات در گزارشی که در ۲۵ آذر، مرکز راهبردی افتای ریاست جمهوری با همکاری شرکت مهندسی شبکه گستر آن را در لینک زیر منتشر کرد قابل مطالعه است:

• https://www.afta.gov.ir/portal/home/?news/235046/237266/242419/

در صورتی که از نرم‌افزار SolarWinds استفاده می‌کنید، اولین اقدام مراجعه به لینک زیر و مطالعه توصیه‌نامه شرکت سازنده است:

• https://www.solarwinds.com/securityadvisory

 محصولات مختلف شرکت امنیتی مک‌آفی قادر به شناسایی تمامی نمونه‌های مخرب گزارش شده این تهدیدات هستند.

در به‌روزرسانی‌های ۴۲۸۷V3DAT و ۹۸۳۵V2DAT و نسخ بعد از آن، تهدیدات مرتبط با این حملات با نام Trojan-Sunburst شناسایی می‌شوند. (در به‌روزرسانی‌های قبلی این تهدیدات با عنوان HackTool-Leak.c گزارش می‌شدند.)

قابلیت شناسایی نمونه‌های مشابه احتمالی (Generic) نیز در به‌روزرسانی‌های ۴۲۸۸V3DAT و ۹۸۳۶V2DAT و نسخ بعد از آن لحاظ شده است.

همچنین شرکت مک‌آفی دو قاعده موسوم به Expert Rules را برای استفاده در بخش Exploit Prevention نرم افزار McAfee Endpoint Security در لینک زیر در دسترس راهبران قرار داده است:

• https://kc.mcafee.com/corporate/index?page=content&id=KB93861

به راهبران محصول McAfee Application and Change Control نیز توصیه شده که در صورت به اصطلاح Solidify شدن نسخ آلوده SolarWinds Orion Platform آنها را Unsolidify کرده و چنانچه پیش‌تر در قواعد McAfee Application and Change Control آنها را به‌عنوان Updater تعریف کرده بودند نسبت به حذف آن قواعد اقدام کنند.

جزییات بیشتر در خصوص تهدیدات روز از جمله Trojan-Sunburst و نشانه‌های آلودگی (IoC) آنها در لینک زیر قابل دریافت و مطالعه است:

• https://www.mcafee.com/enterprise/en-us/lp/insights-preview.html

سیسکو

شرکت سیسکو (Cisco Systems Inc) در چندین نوبت اقدام به عرضه اصلاحیه‌های امنیتی برای برخی از محصولات خود کرد. این به‌روزرسانی‌ها در مجموع، 16 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 2 مورد از آنها “حیاتی” و 6 مورد از آنها “بالا” (High) گزارش شده است. آسیب‌پذیری به حملاتی همچون “اجرای کد به‌صورت از راه دور” و “از کاراندازی سرویس” (Denial of Service) از جمله اشکالات مرتفع شده توسط به‌روزرسانی‌های جدید هستند. توضیحات کامل در مورد به‌روزرسانی‌های عرضه شده در لینک زیر قابل دسترس است:

• https://tools.cisco.com/security/center/publicationListing.x

مک‌آفی

در آذر 1399 شرکت امنیتی مک‌آفی (McAfee Corp) اقدام به عرضه نسخ جدید برای برخی از محصولات امنیت نقاط پایانی و امنیت اطلاعات خود کرد. از جمله موارد لحاظ شده در به‌روزرسانی‌های جدید می‌توان به پشتیبانی از سیستم‌های عامل و محصولات جدید، افزایش قابلیت‌ها و ترمیم آسیب‌پذیری‌های امنیتی و برطرف شدن باگ‌های عملکردی اشاره کرد. جزییات بیشتر در خصوص به‌روزرسانی‌های مذکور در زیر قابل دریافت است:

• McAfee Agent 5.7.0 (https://docs.mcafee.com/bundle/agent-5.7.0-release-notes-epolicy-orchestrator)
• VirusScan Enterprise 8.8 Patch 16 (https://docs.mcafee.com/bundle/virusscan-enterprise-v8-8-0-Patch16-release-notes)
• Host Intrusion Prevention 8.0 Patch 16 (https://docs.mcafee.com/bundle/host-intrusion-prevention-v8-0-0-Patch16-release-notes)
• Application and Change Control for Linux 6.4.12 (https://docs.mcafee.com/bundle/application-change-control-6.4.x-release-notes-linux)
• MOVE AntiVirus Multi-Platform 4.9.0 (https://docs.mcafee.com/bundle/move-antivirus-multi-platform-4.9.x-release-notes)
• McAfee File and Removable Media Protection 5.3.1 Hotfix 1 (https://kc.mcafee.com/corporate/index?page=content&id=SNS2783)
• McAfee Database Security 4.8.0 (https://docs.mcafee.com/bundle/database-security-4.8.x-release-notes)

شرکت مک‌آفی، نسخه 6200 هسته اجرایی (Engine) را برای محصولات مجهز به ضدویروس سازمانی خود را در دسترس قرار داده است. از جمله بهبودهای لحاظ شده در نسخه 6200 می‌توان به موارد زیر اشاره کرد:

• شناسایی فراگیرتر تهدیدات و توانایی مقابله با بدافزارهای توسعه داده شده در بسترهای MSIL و AutoIT
• پوشش هر چه بیشتر فایل‌های از نوع PDF و ISO
• بهبود رمزگشایی فایل‌های کدگذاری شده توسط ADC و LZFSE
• بهبود قابلیت‌های شناسایی تهدیدات تحت Linux و macOS
• امکانات بیشتر برای شناسایی مؤثرتر
• برطرف شدن برخی باگ‌ها و اشکالات در نسخه پیشین

نسخه 6200 که در حال حاضر به‌صورت موسوم به Elective در دسترس راهبران قرار داده شده است. از اواخر دی ماه نیز نسخه جدید به‌صورت خودکار توسط بخش به‌روزرسانی محصولات McAfee Endpoint Security دریافت و نصب خواهد شد.

لازم به ذکر است که مک‌آفی نسخه 6.1.5 ابزار Command Line Scanner را نیز بر پایه Engine 6200 منتشر کرده است.

جزییات کامل در لینک زیر قابل مطالعه است:

• https://kc.mcafee.com/corporate/index?page=content&id=KB92669

بیت‌دیفندر

در نهمین ماه از سال ۱۳۹۹ شرکت بیت‌دیفندر (Bitdefender Inc) اقدام به انتشار نسخ 6.18.1-1، 6.6.23.325، 6.2.21.125 و 4.14.101.200101 به ترتیب برای محصولات GravityZone،و Endpoint Security Tools for Windows،و Endpoint Security Tools for Linux و Endpoint Security for Mac کرد که در آنها قابلیت‌های جدید، اصلاحات امنیتی و بهبودهای عملکردی لحاظ شده است. جزییات بیشتر را در لینک‌های زیر بخوانید:

• https://www.bitdefender.com/support/bitdefender-gravityzone-6-18-1-1-release-notes-2639.html
• https://www.bitdefender.com/support/bitdefender-endpoint-security-tools-version-6-6-23-325-release-notes-(windows)-2644.html
• https://www.bitdefender.com/support/bitdefender-endpoint-security-tools-version-6-2-21-125-release-notes-(linux)-2643.html
• https://www.bitdefender.com/support/endpoint-security-for-mac-version-4-14-101-200101-release-notes-2645.html

فورتی‌نت

در اوایل آذر ماه برخی نهادهای امنیتی از احتمال افشای رمزهای عبور آن دسته از دستگاه‌های ساخت شرکت فورتی‌نت (Fortinet Inc) خبر دادند که به CVE 2018-13379 آسیب‌پذیر گزارش شده‌اند. نسخ زیر از CVE 2018-13379 تأثیر می‌پذیرند:

• FortiOS 6.0؛ نسخ 6.0.0 تا 6.0.4
• FortiOS 5.6؛ نسخ 6.3 تا 5.6.7
• FortiOS 5.4؛ نسخ 4.6 تا 5.4.12

بهره‌جویی (Exploit) از آسیب‌پذیری مذکور مهاجم را بدون نیاز به هر گونه اصالت‌سنجی قادر به دسترسی یافتن به FortiOS می‌کند.

راهکارهای ترمیم این آسیب‌پذیری در توصیه‌نامه زیر در دسترس قرار دارد:

• https://www.fortiguard.com/psirt/FG-IR-18-384

لازم به ذکر است که در 7 آذر ماه مرکز CISA ایالات متحده به راهبران تجهیزات متأثر از CVE 2018-13379 توصیه کرد که لاگ‌های شبکه‌های مرتبط با تجهیزات آسیب‌پذیر را به منظور شناسایی هر گونه تهدید احتمالی به دقت مورد بازبینی قرار دهند.

ادوبی

ادوبی (Adobe Inc) نیز در آذر ماه، چندین آسیب‌پذیری را در محصولات زیر ترمیم و اصلاح کرد:

• Acrobat and Reader (https://helpx.adobe.com/security/products/acrobat/apsb20-75.html)
• Lightroom (https://helpx.adobe.com/security/products/lightroom/apsb20-74.html)
• Experience Manager (https://helpx.adobe.com/security/products/experience-manager/apsb20-72.html)
• Prelude (https://helpx.adobe.com/security/products/prelude/apsb20-70.html)

سوءاستفاده از آسیب‌پذیری گزارش شده در Acrobat and Reader به شناسه CVE-2020-29075 مهاجم را قادر به دستیابی به اطلاعات بالقوه حساس می‌کند.

وی‌ام‌ور

در آذر 1399، آژانس امنیت ملی ایالات متحده (NSA) نسبت به بهره‌جویی مهاجمان از یک آسیب‌پذیری امنیتی در برخی محصولات شرکت وی‌ام‌ور (VMware Inc) هشدار داد. اصلاحیه آسیب‌پذیری مذکور به شناسه CVE-2020-4006 از 13 آذر در دسترس قرار گرفته است. بر اساس گزارش NSA گروهی از مهاجمان روسی با پشتوانه دولتی با توزیع برنامه‌های موسوم به Web Shell مخرب سرورهای آسیب‌پذیر را مورد بهره‌جویی قرار داده و اقدام به سرقت اطلاعات حساس می‌کنند.

محصولات زیر از CVE-2020-4006 تأثیر می‌پذیرد:

• VMware Workspace One Access 20.01, 20.10
• VMware Identity Manager (vIDM) 3.3.1 up to 3.3.3
• VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2
• VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1
• VMware Cloud Foundation 6 4.x
• VMware vRealize Suite Lifecycle Manager 7 8.x

در جریان این حملات مهاجمان با اتصال به کنسول مدیریتی  محصولات آسیب‌پذیر وی‌ام‌ور که در معرض اینترنت قرار گرفته‌اند اقدام به رخنه به شبکه سازمان و نصب برنامه‌های Web Shell از طریق تزریق فرمان (Command Injection) می‌کنند.

پس از توزیع برنامه‌های Web Shell، مهاجمان با استفاده از اصالت‌سنجی‌های SAML و اتصال به سرورهای Active Directory Federation Services – به اختصار ADFS – داده‌های حساس را سرقت می‌کنند.

بهره‌جویی موفق از این آسیب‌پذیری مهاجمان را قادر به اجرای فرامین Linux بر روی دستگاه‌های هک‌شده و در نتیجه ماندگار کردن خود می‌کند.

پیش‌تر و در پی افشای عمومی آسیب‌پذیری مذکور، وی‌ام‌ور اقدام به انتشار راهکاری موقت برای مقاوم‌سازی محصولات خود در برابر CVE-2020-4006 کرده بود. بنابراین در صورت فراهم نبودن امکان انجام به‌روزرسانی، پیاده‌سازی این راهکار می‌تواند گزینه‌ای موقت باشد.

توصیه‌نامه وی‌ام‌ور در خصوص آسیب‌پذیری CVE-2020-4006 در لینک زیر قابل مطالعه است:

• https://kb.vmware.com/s/article/81754

مشروح هشدار NSA نیز در لینک زیر قابل دریافت است:

• https://media.defense.gov/2020/Dec/07/2002547071/-1/-1/0/CSA_VMWARE%20ACCESS_U_OO_195076_20.PDF

گوگل

در 12 آذر شرکت گوگل (Google LLC) با عرضه نسخه 87.0.4280.88 اقدام به ترمیم آسیب‌پذیری‌های امنیتی مرورگر Chrome کرد. فهرست اشکالات مرتفع شده در لینک زیر قابل دریافت و مشاهده است:

• https://chromereleases.googleblog.com/2020/12/stable-channel-update-for-desktop.html

موزیلا

در ماهی که گذشت شرکت موزیلا (Mozilla Corporation) با ارائه به‌روزرسانی، ده‌ها آسیب‌پذیری را در مرورگر Firefox و نرم‌افزار Thunderbird برطرف کرد که توضیحات آنها در لینک‌های زیر قابل مطالعه است:

• https://www.mozilla.org/en-US/security/advisories/mfsa2020-53/
• https://www.mozilla.org/en-US/security/advisories/mfsa2020-54/
• https://www.mozilla.org/en-US/security/advisories/mfsa2020-55/
• https://www.mozilla.org/en-US/security/advisories/mfsa2020-56/

اپل

در آذر شرکت اپل (Apple Inc) در چند نوبت با انتشار به‌روزرسانی، ضعف‌هایی امنیتی را محصولات زیر ترمیم و اصلاح کرد.

• iCloud (https://support.apple.com/en-us/HT211935)
• iOS 14.3 and iPadOS 14.3 (https://support.apple.com/en-us/HT212003)
• macOS Server 5.11 (https://support.apple.com/en-us/HT211932)
• macOS Big Sur 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave (https://support.apple.com/en-us/HT212011)
• iOS 12.5 (https://support.apple.com/en-us/HT212004)
• tvOS 14.3 (https://support.apple.com/en-us/HT212005)
• watchOS 6.3 (https://support.apple.com/en-us/HT212006)
• watchOS 7.2 (https://support.apple.com/en-us/HT212009)
• Safari 14.0.2 (https://support.apple.com/en-us/HT212007)

اس‌آپ

اس‌آپ (SAP SE) دیگر شرکتی بود که در آذر ماه ۹۹ با انتشار به روزرسانی امنیتی، 14 آسیب‌پذیری را در چندین محصول خود برطرف کرد. درجه حساسیت 4 مورد از آسیب‌پذیری‌های مذکور بر طبق استاندارد CVSS، بالاتر از 9 – از 10 – گزارش شده است. جزییات بیشتر در لینک زیر قابل مطالعه است:

• https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564757079

دروپل

در 7 آذر، جامعه دروپل (Drupal Community) با عرضه به‌روزرسانی‌های امنیتی، دو آسیب‌پذیری را در برخی از نسخ Drupal اصلاح کرد؛ بهره‌جویی از آنها، مهاجم را قادر به در اختیار گرفتن کنترل سامانه می‌کند. توضیحات کامل در این خصوص در لینک زیر قابل دسترس است:

• https://www.drupal.org/sa-core-2020-013

آپاچی

در آذر، بنیاد نرم‌افزاری آپاچی (Apache Software Foundation)، توصیه‌نامه‌های زیر را در خصوص وجود آسیب‌پذیری در Apache Tomcat و Apache Struts منتشر کرد:

• http://mail-archives.us.apache.org/mod_mbox/www-announce/202012.mbox/%3C52858194-2efd-6f17-1821-9036c8494df0%40apache.org%3E
• https://cwiki.apache.org/confluence/display/WW/S2-061

سوءاستفاده از ضعف امنیتی Apache Tomcat – به شناسنه CVE-2020-17527 – در نهایت می‌تواند موجب از کار افتادن سرویس‌دهی (Denial-of-Service) سامانه شود. بهره‌جویی از آسیب پذیری Apache Struts – با شناسه CVE-2020-17530 – نیز مهاجم را قادر به اجرای کد بر روی سامانه آسیب‌پذیر می‌کند.

اوپن‌اس‌اس‌ال

18 آذر، بنیاد نرم‌افزاری اوپن‌اس‌اس‌ال (OpenSSL Software Foundation) اقدام به انتشار توصیه‌نامه‌ای با درجه اهمیت “بالا” در خصوص آسیب‌پذیری با شناسه CVE-2020-1971 کرد. بهره‌جویی از آسیب‌پذیری مذکور که نسخ 1.0.2 و 1.1.1 از آن تأثیر می‌پذیرند موجب از کار افتادن سرویس‌دهی سامانه می‌شود. توصیه‌نامه اوپن‌اس‌اس‌ال در لینک زیر قابل مطالعه است:

• https://www.openssl.org/news/secadv/20201208.txt