
بهروزرسانیها و اصلاحیههای بهمن ۱۳۹۹
در بهمن ۱۳۹۹، شرکتهای مایکروسافت، سیسکو، اوراکل، ویاِموِر، مکآفی، فورتینت، بیتدیفندر، ادوبی، گوگل، موزیلا، سونیکوال، اسآپ و اپل و جامعه دروپل اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند که در ادامه این این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به آن پرداخته شده است.
مـایـکـروسـافـت
21 بهمن، شرکت مایکروسافت (Microsoft, Corp) مجموعهاصلاحیههای امنیتی ماهانه خود را برای ماه میلادی فوریه منتشر کرد. اصلاحیههای مذکور در مجموع 56 آسیبپذیری را در محصولات مختلف مایکروسافت ترمیم میکنند.
درجه اهمیت 11 مورد از این آسیبپذیریها “حیاتی” (Critical)، 43 مورد “مهم” (Important) و دو مورد نیز “متوسط” (Moderate) است.
یکی از آسیبپذیریهای ترمیم شده توسط این مجموعهاصلاحیهها “روز-صفر” (Zero-day) اعلام شده و از مدتی قبل مورد بهرهجویی (Exploit) حداقل یک گروه از مهاجمان قرار گرفته است. آسیبپذیری مذکور، ضعفی با شناسه CVE-2021-1732 و از نوع “ترفیع امتیازی” (Elevation of Privilege) است که Win32k در چندین نسخه از Windows 10 و برخی نسخ Windows 2019 از آن تأثیر میپذیرد. بهرهجویی از آن، مهاجم یا برنامه مخرب را قادر به ارتقای سطح دسترسی خود در حد Administrator میکند.
جزییات شش مورد از آسیبپذیریهای ترمیم شده توسط مجموعهاصلاحیههای ماه فوریه مایکروسافت نیز پیشتر بهطور عمومی افشا شده بود. فهرست این آسیبپذیریها بهشرح زیر است:
- CVE-2021-1721 – ضعفی از نوع “توقف خدمت” (Denial of Service) در .NET Core و Visual Studio
- CVE-2021-1727 – باگی از نوع “ترفیع امتیازی” در Windows Installer
- CVE-2021-1733 – ضعفی از نوع “ترفیع امتیازی” در Sysinternals PsExec
- CVE-2021-24098 – باگی از نوع “توقف خدمت” در Windows Console Driver
- CVE-2021-24106 – ضعفی از نوع “نشت اطلاعات” (Information Disclosure) در Windows DirectX
- CVE-2021-26701 – باگی از نوع “اجرای کد بهصورت از راه دور” (Remote Code Execution) در .NET Core
CVE-2021-24078 یکی از ضعفهای “حیاتی” از نوع “اجرای کد بهصورت از راه دور” این ماه است که DNS Server در سیستم عامل Windows از آن تأثیر میپذیرد. بر طبق استاندارد CVSS شدت حساسیت آن 9.8 (از 10) گزارش شده است. سوءاستفاده از این آسیبپذیری، بستر را برای هدایت ترافیک معتبر سازمان به سرورهای مخرب فراهم میکند. مایکروسافت مورد بهرهجویی قرار گرفتن آن را بسیار محتمل دانسته است.
CVE-2021-24105 یکی از آسیبپذیریهای ترمیم شده این ماه است که امکان اجرای حملات موسوم به “زنجیره تأمین” (Supply Chain) را در بستر Azure Artifactory فراهم میکند. بدینمنظور مهاجم میتواند با بهرهجویی از آسیبپذیری مذکور اقدام به ایجاد بستههای نرمافزاری همنام با بستههای نرمافزاری سازمان کرده و موجب شود که در زمان اجرا بجای فراخوانی بسته اصلی، بسته نرمافزاری مخرب مهاجمان دریافت و اجرا شود. پیشتر، در گزارش زیر، بسیاری از شرکتهای مطرح در برابر این تهدید آسیبپذیر گزارش شده بودند:
از دیگر آسیبپذیریهای بااهمیت این ماه میتوان به CVE-2021-24074 و CVE-2021-24094 اشاره کرد که تنظیمات TCP/IP در Windows از آنها تأثیر میپذیرد. هر دوی این آسیبپذیریها شدت حساسیت 8.1 دریافت کردهاند. سوءاستفاده از آنها مهاجم را قادر به اجرای کد بر روی دستگاه قربانی میکند. علاوه بر انتشار اصلاحیه، در توصیهنامههای مایکروسافت به چندین راهکار موقت برای ایمن نگاه داشتن کاربران و سازمان از گزند تهدیدات مبتنی بر آسیبپذیریهای مذکور ارائه شده است.
CVE-2021-24072 نیز که شدت حساسیت 8.8 را دریافت کرده، نرمافزار SharePoint را بهنحوی متأثر میکند که سوءاستفاده از آن اجرای کد را بهصورت از راه دور میسر میکند.
جزییات بیشتر در خصوص مجموعه اصلاحیه های ماه فوریه مایکروسافت را در گزارش زیر که با همکاری مرکز مدیریت راهبردی افتای ریاست جمهوری و شرکت مهندسی شبکه گستر تهیه شده بخوانید:
سـیـسـکـو
شرکت سیسکو (Cisco Systems Inc) در بهمن ماه در چندین نوبت اقدام به عرضه اصلاحیههای امنیتی برای برخی از محصولات خود کرد. این بهروزرسانیها بیش از 130 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 21 مورد آنها “حیاتی” و 67 مورد “بالا” (High) گزارش شده است. آسیبپذیری به حملاتی همچون “اجرای کد بهصورت از راه دور”، “نشت اطلاعات”
(Information Disclosure) و “از کاراندازی سرویس” (Denial of Service) از جمله اشکالات مرتفع شده توسط بهروزرسانیهای جدید هستند. توضیحات کامل در مورد بهروزرسانیهای عرضه شده در لینک زیر قابل دسترس است:
لازم به ذکر است که در 19 بهمن ماه نیز مرکز مدیریت راهبردی افتای ریاست جمهوری با همکاری شرکت مهندسی شبکه گستر به بررسی آسیبپذیری امنیتی روترهای موسوم به Small Business سیسکو پرداخت که جزییات آن در لینک زیر قابل مطالعه است:
اوراکـل
در بهمن، شرکت اوراکل (Oracle Corp) مطابق با برنامه زمانبندی شده سهماهه خود، با انتشار مجموعهبهروزرسانیهای موسوم به Critical Patch Update اقدام به ترمیم 329 آسیبپذیری امنیتی در دهها محصول ساخت این شرکت کرد. بهره جویی از برخی از آسیبپذیریهای مذکور مهاجم را قادر به اجرای کد بهصورت از راه دور بدون نیاز به هر گونه اصالتسنجی میکند. جزییات کامل در خصوص آنها در لینک زیر قابل دریافت است:
ویاِموِر
23 بهمن شرکت ویاِموِر (VMware, Inc) با انتشار بهروزرسانی ضعفی با شناسه CVE-2021-21976 و درجه حساسیت “مهم” را در
vSphere Replication ترمیم کرد که جزییات آن در لینک زیر قابل مطالعه است:
مـکآفـی
21 بهمن شرکت مکآفی (McAfee, LLC)، بهروزرسانی February 2021 نسخ 10.6.1 و 10.7 نرمافزار McAfee Endpoint Security – به اختصار ENS – را منتشر کرد. مکآفی درجه اهمیت این بهروزرسانی را “حیاتی” اعلام کرده است.
مکآفی در سهشنبه دوم هر ماه میلادی (معروف به Patch Tuesday) اقدام به انتشار بهروزرسانیها و اصلاحیههای امنیتی برای محصولات خود میکند.
در بهروزرسانی February 2021 نرمافزار ENS، دو آسیبپذیری با شدت حساسیت “بالا” و سه آسیبپذیری با شدت حساسیت “متوسط” بهشرح زیر ترمیم و اصلاح شده است:
- CVE-2021-23878 – ضعفی با درجه حساسیت “بالا” است که به دلیل ذخیره اطلاعات حساس بهصورت “متن ساده” (Clear Text) در حافظه، امکان مشاهده تنظیمات ENS و اطلاعات اصالتسنجی آن را برای کاربر با سطح دسترسی “محلی” (Local) فراهم میکند. بهرهجویی (Exploit) از این آسیبپذیری مستلزم آن است که بهمحض اعمال یک تغییر توسط راهبر، مهاجم اقدام به دسترسی یافتن به حافظه پروسه کند.
- CVE-2021-23880 – ضعفی با درجه حساسیت “متوسط” که مهاجم با دسترسی محلی را از طریق اجرای فرمانی با پارامترهایی خاص قادر به حذف “هسته اجرایی” (Engine) ضدبدافزار میکند. مکآفی برای آن دسته از سازمانهایی که در حال حاضر امکان ارتقای محصول خود را ندارند یک Expert Rule اختصاصی را بهعنوان راهکار موقت این آسیبپذیری ارائه کرده است.
- CVE-2021-23881 – ضعفی با درجه حساسیت “متوسط” و از نوع “تزریق اسکریپت از طریق سایت” (XSS) است؛ افزونه (Extension) نرمافزار McAfee ENS در McAfee ePO از این آسیبپذیری تأثیر میپذیرد.
- CVE-2021-23882 – ضعفی با درجه حساسیت “بالا” که مهاجم با دسترسی محلی را قادر به جلوگیری از نصب برخی فایلهای ENS میکند. بهمنظور بهرهجویی از آسیبپذیری مذکور، مهاجم باید با دقت فایلهایی را در مسیری که ENS در آنجا نصب میشود ذخیره کرده باشد. این آسیبپذیری تنها متوجه نصب نو (Clean Installation) بوده و به دلیل وجود قواعد کنترلکننده، مشمول زمان ارتقا نمیشود.
- CVE-2021-23883 – ضعفی با درجه حساسیت “متوسط”، از نوع Null Pointer Dereference است که مهاجم با دسترسی محلی را از طریق یک فراخوانی سیستمی خاص، قادر به از کارانداختن سرویسدهی Windows میکند. این آسیبپذیری بسته به نوع ماشین متفاوت بوده و تا پیش از بهروزرسانی اخیر حفاظتهایی جزیی در مقابل آن لحاظ شده بوده است.
مشروح اطلاعات فنی اصلاحیههای مذکور در لینک زیر قابل دریافت است:
- https://kc.mcafee.com/corporate/index?page=content&id=SB10345
جزییات دیگر بهبودهای اعمال شده در نسخ جدید در لینکهای زیر در دسترس است:
- https://docs.mcafee.com/bundle/endpoint-security-10.7.x-release-notes
- https://docs.mcafee.com/bundle/endpoint-security-10.6.1-release-notes-windows
همچنین 21 بهمن ماه، شرکت مک آفی نسخه 10.7.4 ضدویروس Endpoint Security for Linux را نیز منتشر کرد. در نسخه جدید از هسته چندین توزیع (Distribution) سیستم عامل Linux پشتیبانی میشود. جزییات بیشتر در لینک زیر قابل مطالعه است:
- https://docs.mcafee.com/bundle/endpoint-security-10.7.4-threat-prevention-release-notes-linux
فـورتـینـت
در دو ماه اخیر، شرکت فورتینت (Fortinet, Inc) با انتشار بهروزرسانی، 10 آسیبپذیری را در چند محصول خود ترمیم کرده است. این بهروزرسانیها، دامنه گستردهای از ضعفهای امنیتی نظیر “اجرای کد بهصورت از راه دور”، “تزریق SQL” و “از کاراندازی سرویس” را برطرف میکنند. فهرست محصولات مشمول این بهروزرسانیها بهشرح زیر است:
- FortiDeceptor
- FortiGate
- FortiIsolator
- FortiProxy
- FortiWeb
جزییات این بهروزرسانیها در گزارش زیر با همکاری مرکز مدیریت راهبردی افتای ریاست جمهوری و شرکت مهندسی شبکه گستر تهیه شده قابل دریافت و مطالعه است:
بـیـتدیـفـنـدر
در یازدهمین ماه سال ۱۳۹۹ شرکت بیتدیفندر اقدام به انتشار نسخ 6.19.1-1، 6.6.24.337، 6.2.21.133 و 4.15.127.200127 بهترتیب برای محصولات Bitdefender GravityZone، Endpoint Security Tools for Windows، Bitdefender Endpoint Security for Linux و Endpoint Security for Mac و افزودن قابلیتهای جدید در آنها کرد. جزییات بیشتر را در لینکهای زیر بخوانید:
- https://www.bitdefender.com/support/bitdefender-gravityzone-6-19-1-1-(third-party-updates)-release-notes-2658.html
- https://www.bitdefender.com/support/bitdefender-endpoint-security-tools-version-6-6-24-337-release-notes-(windows)-2662.html
- https://www.bitdefender.com/support/bitdefender-endpoint-security-tools-version-6-2-21-133-release-notes-(linux)-2660.html
- https://www.bitdefender.com/support/endpoint-security-for-mac-version-4-15-127-200127-release-notes-2659.html
ادوبـی
۲۱ بهمن، شرکت ادوبی (Adobe Inc) مجموعه اصلاحیههای امنیتی ماه میلادی فوریه خود را منتشر کرد. اصلاحیههای مذکور، در مجموع، ۵۰ ضعف امنیتی را در محصولات مختلف این شرکت ترمیم میکنند. شدت حساسیت بسیاری از آسیبپذیریهای مذکور، “حیاتی” گزارش شده و اکثر آنها در دسته آسیبپذیری به حملات اجرای کد قرار میگیرند. یکی از ضعفهای امنیتی مذکور با شناسه CVE-2021-21017 از مدتی پیش مورد بهرهجویی مهاجمان قرار گرفته است. سوءاستفاده از CVE-2021-21017 مهاجم را قادر میکند تا از طریق یک سایت مخرب اقدام به اجرای کد بهصورت از راه دور بر روی دستگاه قربانی کند. با نصب بهروزرسانی ماه فوریه، نسخه نگارشهای جاری نرمافزارهای Acrobat DC و Acrobat Reader DC به ۲۰۲۱.۰۰۱.۲۰۱۳۵، نگارشهای ۲۰۲۰ به ۲۰۲۰.۰۰۱.۳۰۰۲۰ و نگارشهای ۲۰۱۷ آنها به ۲۰۱۷.۰۱۱.۳۰۱۹۰ تغییر خواهد کرد. اطلاعات بیشتر در خصوص مجموعه اصلاحیههای ماه فوریه ادوبی در لینک زیر قابل مطالعه است:
گـوگـل
در بهمن ماه شرکت گوگل (Google LLC) در چندین نوبت با عرضه بهروزرسانی اقدام به ترمیم آسیبپذیریهای امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 28 بهمن انتشار یافت 88.0.4324.182 است. فهرست اشکالات مرتفع شده در لینکهای زیر قابل دریافت و مشاهده است:
- https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop_19.html
- https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop.html
- https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html
- https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_16.html
لازم به ذکر است که یکی از آسیبپذیریهای ترمیم شده توسط گوگل، روز-صفر بوده و همانطور که در لینک زیر به آن پرداخته شده مهاجمان در حال بهرهجویی از آن هستند:
مـوزیـلا
در ماهی که گذشت شرکت موزیلا (Mozilla Corp) با ارائه بهروزرسانی، چند آسیبپذیری امنیتی را در مرورگر Firefox و نرمافزار Thunderbird برطرف کرد. درجه حساسیت برخی از این آسیبپذیریهای ترمیم شده، “حیاتی” و برخی دیگر “بالا” گزارش شده است. توضیحات بیشتر در لینکهای زیر قابل مطالعه است:
سـونیـکوال
در بهمن ماه شرکت سونیکوال (SonicWall Inc) با انتشار اطلاعیهای از بهرهجویی مهاجمان از یک آسیبپذیری روز-صفر در برخی محصولات این شرکت برای رخنه به سامانههای داخلی آن خبر داد. مشروح این رخداد در گزارش زیر با همکاری مرکز مدیریت راهبردی افتای ریاست جمهوری و شرکت مهندسی شبکه گستر تهیه شده قابل دریافت و مطالعه است:
اسآپ
اسآپ (SAP SE) دیگر شرکتی بود که در بهمن ماه ۹۹ با انتشار بهروزرسانی امنیتی، آسیبپذیریهایی را در چندین محصول خود برطرف کرد. بهرهجویی از بعضی از این آسیبپذیریهای ترمیم شده مهاجم را قادر به در اختیار گرفتن کنترل سیستم میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
اپـل
در ۴ مهر ماه، شرکت اپل (Apple Inc) با انتشار بهروزرسانی، ضعفهایی امنیتی را محصولات زیر ترمیم و اصلاح کرد:
- Xcode: https://support.apple.com/en-us/HT212153
- iCloud for Windows: https://support.apple.com/en-us/HT212145
- iOS & iPadOS: https://support.apple.com/en-us/HT212146
- tvOS: https://support.apple.com/en-us/HT212149
- watchOS: https://support.apple.com/en-us/HT212148
- macOS: https://support.apple.com/en-us/HT212147 | https://support.apple.com/en-us/HT212177
سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند.
Sudo
در بهمن، مرکز مدیریت راهبردی افتای ریاست جمهوری در گزارش زیر به بررسی آسیبپذیری جدید Sudo پرداخت:
بهرهجویی از آسیبپذیری مذکور به هر کاربر محلی اجازه میدهد بدون نیاز به فرآیند احراز هویت، امتیازات سطح بالا را در سیستمهای عامل مشابه Unix دریافت کند. جزییات بیشتر در لینک زیر قابل مطالعه است:
دروپـل
1 بهمن، جامعه دروپل (Drupal Community) با عرضه بهروزرسانیهای امنیتی، یک آسیبپذیری با شناسه CVE-2020-36193 را در برخی از نسخ Drupal اصلاح کرد؛ بهرهجویی از آن، مهاجم را قادر به در اختیار گرفتن کنترل سامانه میکند. توضیحات کامل در این خصوص در لینک زیر قابل دسترس است: