به‌روزرسانی‌ها و اصلاحیه‌های بهمن 1399

در بهمن ۱۳۹۹، شرکت‌های مایکروسافت، سیسکو، اوراکل، وی‌اِم‌وِر، مک‌آفی، فورتی‌نت، بیت‌دیفندر، ادوبی، گوگل، موزیلا، سونیک‌وال، اس‌آپ و اپل و جامعه دروپل اقدام به عرضه به‌روزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند که در ادامه این این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به آن پرداخته شده است.

مـایـکـروسـافـت

21 بهمن، شرکت مایکروسافت (Microsoft, Corp) مجموعه‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی فوریه منتشر کرد. اصلاحیه‌های مذکور در مجموع 56 آسیب‌پذیری را در محصولات مختلف مایکروسافت ترمیم می‌کنند.

درجه اهمیت 11 مورد از این آسیب‌پذیری‌ها “حیاتی” (Critical)، 43 مورد “مهم” (Important) و دو مورد نیز “متوسط” (Moderate) است.

یکی از آسیب‌پذیری‌های ترمیم شده توسط این مجموعه‌اصلاحیه‌ها “روز-صفر” (Zero-day) اعلام شده و از مدتی قبل مورد بهره‌جویی (Exploit) حداقل یک گروه از مهاجمان قرار گرفته است. آسیب‌پذیری مذکور، ضعفی با شناسه CVE-2021-1732 و از نوع “ترفیع امتیازی” (Elevation of Privilege) است که Win32k در چندین نسخه از Windows 10 و برخی نسخ Windows 2019 از آن تأثیر می‌پذیرد. بهره‌جویی از آن، مهاجم یا برنامه مخرب را قادر به ارتقای سطح دسترسی خود در حد Administrator می‌کند.

جزییات شش مورد از آسیب‌پذیری‌های ترمیم شده توسط مجموعه‌اصلاحیه‌های ماه فوریه مایکروسافت نیز پیش‌تر به‌طور عمومی افشا شده بود. فهرست این آسیب‌پذیری‌ها به‌شرح زیر است:

• CVE-2021-1721 – ضعفی از نوع “توقف خدمت” (Denial of Service) در .NET Core و Visual Studio
• CVE-2021-1727 – باگی از نوع “ترفیع امتیازی” در Windows Installer
• CVE-2021-1733 – ضعفی از نوع “ترفیع امتیازی” در Sysinternals PsExec
• CVE-2021-24098 – باگی از نوع “توقف خدمت” در Windows Console Driver
• CVE-2021-24106 – ضعفی از نوع “نشت اطلاعات” (Information Disclosure) در Windows DirectX
• CVE-2021-26701 – باگی از نوع “اجرای کد به‌صورت از راه دور” (Remote Code Execution) در .NET Core

CVE-2021-24078 یکی از ضعف‌های “حیاتی” از نوع “اجرای کد به‌صورت از راه دور” این ماه است که DNS Server در سیستم عامل Windows از آن تأثیر می‌پذیرد. بر طبق استاندارد CVSS شدت حساسیت آن 9.8 (از 10) گزارش شده است. سوءاستفاده از این آسیب‌پذیری، بستر را برای هدایت ترافیک معتبر سازمان به سرورهای مخرب فراهم می‌کند. مایکروسافت مورد بهره‌جویی قرار گرفتن آن را بسیار محتمل دانسته است.

CVE-2021-24105 یکی از آسیب‌پذیری‌های ترمیم شده این ماه است که امکان اجرای حملات موسوم به “زنجیره تأمین” (Supply Chain) را در بستر Azure Artifactory فراهم می‌کند. بدین‌منظور مهاجم می‌تواند با بهره‌جویی از آسیب‌پذیری مذکور اقدام به ایجاد بسته‌های نرم‌افزاری همنام با بسته‌های نرم‌افزاری سازمان کرده و موجب شود که در زمان اجرا بجای فراخوانی بسته اصلی، بسته نرم‌افزاری مخرب مهاجمان دریافت و اجرا شود. پیش‌تر، در گزارش زیر، بسیاری از شرکت‌های مطرح در برابر این تهدید آسیب‌پذیر گزارش شده بودند:

• https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610

از دیگر آسیب‌پذیری‌های بااهمیت این ماه می‌توان به CVE-2021-24074 و CVE-2021-24094 اشاره کرد که تنظیمات TCP/IP در Windows از آنها تأثیر می‌پذیرد. هر دوی این آسیب‌پذیری‌ها شدت حساسیت 8.1 دریافت کرده‌اند. سوءاستفاده از آنها مهاجم را قادر به اجرای کد بر روی دستگاه قربانی می‌کند. علاوه بر انتشار اصلاحیه، در توصیه‌نامه‌های مایکروسافت به چندین راهکار موقت برای ایمن نگاه داشتن کاربران و سازمان از گزند تهدیدات مبتنی بر آسیب‌پذیری‌های مذکور ارائه شده است.

CVE-2021-24072 نیز که شدت حساسیت 8.8 را دریافت کرده، نرم‌افزار SharePoint را به‌نحوی متأثر می‌کند که سوءاستفاده از آن اجرای کد را به‌صورت از راه دور میسر می‌کند.

جزییات بیشتر در خصوص مجموعه اصلاحیه های ماه فوریه مایکروسافت را در گزارش زیر که با همکاری مرکز مدیریت راهبردی افتای ریاست جمهوری و شرکت مهندسی شبکه گستر تهیه شده بخوانید:

• https://www.afta.gov.ir/portal/home/?news/235046/237266/242764/

سـیـسـکـو

شرکت سیسکو (Cisco Systems Inc) در بهمن ماه در چندین نوبت اقدام به عرضه اصلاحیه‌های امنیتی برای برخی از محصولات خود کرد. این به‌روزرسانی‌ها بیش از 130 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 21 مورد آنها “حیاتی” و 67 مورد “بالا” (High) گزارش شده است. آسیب‌پذیری به حملاتی همچون “اجرای کد به‌صورت از راه دور”، “نشت اطلاعات”
(Information Disclosure) و “از کاراندازی سرویس” (Denial of Service) از جمله اشکالات مرتفع شده توسط به‌روزرسانی‌های جدید هستند. توضیحات کامل در مورد به‌روزرسانی‌های عرضه شده در لینک زیر قابل دسترس است:

• https://tools.cisco.com/security/center/publicationListing.x

لازم به ذکر است که در 19 بهمن ماه نیز مرکز مدیریت راهبردی افتای ریاست جمهوری با همکاری شرکت مهندسی شبکه گستر به بررسی آسیب‌پذیری امنیتی روترهای موسوم به Small Business سیسکو پرداخت که جزییات آن در لینک زیر قابل مطالعه است:

• https://www.afta.gov.ir/portal/home/?news/235046/237266/242735/

اوراکـل

در بهمن، شرکت اوراکل (Oracle Corp) مطابق با برنامه زمانبندی شده سه‌ماهه خود، با انتشار مجموعه‌به‌روزرسانی‌های موسوم به Critical Patch Update اقدام به ترمیم 329 آسیب‌پذیری امنیتی در ده‌ها محصول ساخت این شرکت کرد. بهره جویی از برخی از آسیب‌پذیری‌های مذکور مهاجم را قادر به اجرای کد به‌صورت از راه دور بدون نیاز به هر گونه اصالت‌سنجی می‌کند. جزییات کامل در خصوص آنها در لینک زیر قابل دریافت است:

• https://www.oracle.com/security-alerts/cpujan2021.html

وی‌اِم‌وِر

23 بهمن شرکت وی‌اِم‌وِر (VMware, Inc) با انتشار به‌روزرسانی ضعفی با شناسه CVE-2021-21976 و درجه حساسیت “مهم” را در
vSphere Replication ترمیم کرد که جزییات آن در لینک زیر قابل مطالعه است:

• https://www.vmware.com/security/advisories/VMSA-2021-0001.html

مـک‌آفـی

21 بهمن شرکت مک‌آفی (McAfee, LLC)، به‌روزرسانی February 2021 نسخ 10.6.1 و 10.7 نرم‌افزار McAfee Endpoint Security – به اختصار ENS – را منتشر کرد. مک‌آفی درجه اهمیت این به‌روزرسانی را “حیاتی” اعلام کرده است.

مک‌آفی در سه‌شنبه دوم هر ماه میلادی (معروف به Patch Tuesday) اقدام به انتشار به‌روزرسانی‌ها و اصلاحیه‌های امنیتی برای محصولات خود می‌کند.

در به‌روزرسانی February 2021 نرم‌افزار ENS، دو آسیب‌پذیری با شدت حساسیت “بالا” و سه آسیب‌پذیری با شدت حساسیت “متوسط” به‌شرح زیر ترمیم و اصلاح شده است:

• CVE-2021-23878 – ضعفی با درجه حساسیت “بالا” است که به دلیل ذخیره اطلاعات حساس به‌صورت “متن ساده” (Clear Text) در حافظه، امکان مشاهده تنظیمات ENS و اطلاعات اصالت‌سنجی آن را برای کاربر با سطح دسترسی “محلی” (Local) فراهم می‌کند. بهره‌جویی (Exploit) از این آسیب‌پذیری مستلزم آن است که به‌محض اعمال یک تغییر توسط راهبر، مهاجم اقدام به دسترسی یافتن به حافظه پروسه کند.
• CVE-2021-23880 – ضعفی با درجه حساسیت “متوسط” که مهاجم با دسترسی محلی را از طریق اجرای فرمانی با پارامترهایی خاص قادر به حذف “هسته اجرایی” (Engine) ضدبدافزار می‌کند. مک‌آفی برای آن دسته از سازمان‌هایی که در حال حاضر امکان ارتقای محصول خود را ندارند یک Expert Rule اختصاصی را به‌عنوان راهکار موقت این آسیب‌پذیری ارائه کرده است.
• CVE-2021-23881 – ضعفی با درجه حساسیت “متوسط” و از نوع “تزریق اسکریپت از طریق سایت” (XSS) است؛ افزونه (Extension) نرم‌افزار McAfee ENS در McAfee ePO از این آسیب‌پذیری تأثیر می‌پذیرد.
• CVE-2021-23882 – ضعفی با درجه حساسیت “بالا” که مهاجم با دسترسی محلی را قادر به جلوگیری از نصب برخی فایل‌های ENS می‌کند. به‌منظور بهره‌جویی از آسیب‌پذیری مذکور، مهاجم باید با دقت فایل‌هایی را در مسیری که ENS در آنجا نصب می‌شود ذخیره کرده باشد. این آسیب‌پذیری تنها متوجه نصب نو (Clean Installation) بوده و به دلیل وجود قواعد کنترل‌کننده، مشمول زمان ارتقا نمی‌شود.
• CVE-2021-23883 – ضعفی با درجه حساسیت “متوسط”، از نوع Null Pointer Dereference است که مهاجم با دسترسی محلی را از طریق یک فراخوانی سیستمی خاص، قادر به از کارانداختن سرویس‌دهی Windows می‌کند. این آسیب‌پذیری بسته به نوع ماشین متفاوت بوده و تا پیش از به‌روزرسانی اخیر حفاظت‌هایی جزیی در مقابل آن لحاظ شده بوده است.

مشروح اطلاعات فنی اصلاحیه‌های مذکور در لینک زیر قابل دریافت است:

• https://kc.mcafee.com/corporate/index?page=content&id=SB10345

جزییات دیگر بهبودهای اعمال شده در نسخ جدید در لینک‌های زیر در دسترس است:

• https://docs.mcafee.com/bundle/endpoint-security-10.7.x-release-notes
• https://docs.mcafee.com/bundle/endpoint-security-10.6.1-release-notes-windows

همچنین 21 بهمن ماه، شرکت مک آفی نسخه 10.7.4 ضدویروس Endpoint Security for Linux را نیز منتشر کرد. در نسخه جدید از هسته چندین توزیع (Distribution) سیستم عامل Linux پشتیبانی می‌شود. جزییات بیشتر در لینک زیر قابل مطالعه است:

• https://docs.mcafee.com/bundle/endpoint-security-10.7.4-threat-prevention-release-notes-linux

فـورتـی‌نـت

در دو ماه اخیر، شرکت فورتی‌نت (Fortinet, Inc) با انتشار به‌روزرسانی، 10 آسیب‌پذیری را در چند محصول خود ترمیم کرده است. این به‌روزرسانی‌ها، دامنه گسترده‌ای از ضعف‌های امنیتی نظیر “اجرای کد به‌صورت از راه دور”، “تزریق SQL” و “از کاراندازی سرویس” را برطرف می‌کنند. فهرست محصولات مشمول این به‌روزرسانی‌ها به‌شرح زیر است:

• FortiDeceptor
• FortiGate
• FortiIsolator
• FortiProxy
• FortiWeb

جزییات این به‌روزرسانی‌ها در گزارش زیر با همکاری مرکز مدیریت راهبردی افتای ریاست جمهوری و شرکت مهندسی شبکه گستر تهیه شده قابل دریافت و مطالعه است:

• https://www.afta.gov.ir/portal/home/?news/235046/237266/242764/

بـیـت‌دیـفـنـدر

در یازدهمین ماه سال ۱۳۹۹ شرکت بیت‌دیفندر اقدام به انتشار نسخ 6.19.1-1، 6.6.24.337، 6.2.21.133 و 4.15.127.200127 به‌ترتیب برای محصولات Bitdefender GravityZone، Endpoint Security Tools for Windows، Bitdefender Endpoint Security for Linux و Endpoint Security for Mac و افزودن قابلیت‌های جدید در آنها کرد. جزییات بیشتر را در لینک‌های زیر بخوانید:

• https://www.bitdefender.com/support/bitdefender-gravityzone-6-19-1-1-(third-party-updates)-release-notes-2658.html
• https://www.bitdefender.com/support/bitdefender-endpoint-security-tools-version-6-6-24-337-release-notes-(windows)-2662.html
• https://www.bitdefender.com/support/bitdefender-endpoint-security-tools-version-6-2-21-133-release-notes-(linux)-2660.html
• https://www.bitdefender.com/support/endpoint-security-for-mac-version-4-15-127-200127-release-notes-2659.html

ادوبـی

۲۱ بهمن، شرکت ادوبی (Adobe Inc) مجموعه اصلاحیه‌های امنیتی ماه میلادی فوریه خود را منتشر کرد. اصلاحیه‌های مذکور، در مجموع، ۵۰ ضعف امنیتی را در محصولات مختلف این شرکت ترمیم می‌کنند. شدت حساسیت بسیاری از آسیب‌پذیری‌های مذکور، “حیاتی” گزارش شده و اکثر آنها در دسته آسیب‌پذیری به حملات اجرای کد قرار می‌گیرند. یکی از ضعف‌های امنیتی مذکور با شناسه CVE-2021-21017 از مدتی پیش مورد بهره‌جویی مهاجمان قرار گرفته است. سوءاستفاده از CVE-2021-21017 مهاجم را قادر می‌کند تا از طریق یک سایت مخرب اقدام به اجرای کد به‌صورت از راه دور بر روی دستگاه قربانی کند. با نصب به‌روزرسانی ماه فوریه، نسخه نگارش‌های جاری نرم‌افزارهای Acrobat DC و Acrobat Reader DC به ۲۰۲۱.۰۰۱.۲۰۱۳۵، نگارش‌های ۲۰۲۰ به ۲۰۲۰.۰۰۱.۳۰۰۲۰ و نگارش‌های ۲۰۱۷ آنها به ۲۰۱۷.۰۱۱.۳۰۱۹۰ تغییر خواهد کرد. اطلاعات بیشتر در خصوص مجموعه اصلاحیه‌های ماه فوریه ادوبی در لینک زیر قابل مطالعه است:

• https://helpx.adobe.com/security.html

گـوگـل

در بهمن ماه شرکت گوگل (Google LLC) در چندین نوبت با عرضه به‌روزرسانی اقدام به ترمیم آسیب‌پذیری‌های امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 28 بهمن انتشار یافت 88.0.4324.182 است. فهرست اشکالات مرتفع شده در لینک‌های زیر قابل دریافت و مشاهده است:

• https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop_19.html
• https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop.html
• https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html
• https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_16.html

لازم به ذکر است که یکی از آسیب‌پذیری‌های ترمیم شده توسط گوگل، روز-صفر بوده و همان‌طور که در لینک زیر به آن پرداخته شده مهاجمان در حال بهره‌جویی از آن هستند:

• https://www.afta.gov.ir/portal/home/?news/235046/237266/242738/

مـوزیـلا

در ماهی که گذشت شرکت موزیلا (Mozilla Corp) با ارائه به‌روزرسانی، چند آسیب‌پذیری امنیتی را در مرورگر Firefox و نرم‌افزار Thunderbird برطرف کرد. درجه حساسیت برخی از این آسیب‌پذیری‌های ترمیم شده، “حیاتی” و برخی دیگر “بالا” گزارش شده است. توضیحات بیشتر در لینک‌های زیر قابل مطالعه است:

• https://www.mozilla.org/en-US/security/advisories/

سـونیـک‌وال

در بهمن ماه شرکت سونیک‌وال (SonicWall Inc) با انتشار اطلاعیه‌ای از بهره‌جویی مهاجمان از یک آسیب‌پذیری روز-صفر در برخی محصولات این شرکت برای رخنه به سامانه‌های داخلی آن خبر داد. مشروح این رخداد در گزارش زیر با همکاری مرکز مدیریت راهبردی افتای ریاست جمهوری و شرکت مهندسی شبکه گستر تهیه شده قابل دریافت و مطالعه است:

• https://www.afta.gov.ir/portal/home/?news/235046/237266/242652/

اس‌آپ

اس‌آپ (SAP SE) دیگر شرکتی بود که در بهمن ماه ۹۹ با انتشار به‌روزرسانی امنیتی، آسیب‌پذیری‌هایی را در چندین محصول خود برطرف کرد. بهره‌جویی از بعضی از این آسیب‌پذیری‌های ترمیم شده مهاجم را قادر به در اختیار گرفتن کنترل سیستم می‌کند. جزییات بیشتر در لینک زیر قابل مطالعه است:

• https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=568460543

اپـل

در ۴ مهر ماه، شرکت اپل (Apple Inc) با انتشار به‌روزرسانی، ضعف‌هایی امنیتی را محصولات زیر ترمیم و اصلاح کرد:

• Xcode: https://support.apple.com/en-us/HT212153
• iCloud for Windows: https://support.apple.com/en-us/HT212145
• iOS & iPadOS: https://support.apple.com/en-us/HT212146
• tvOS: https://support.apple.com/en-us/HT212149
• watchOS: https://support.apple.com/en-us/HT212148
• macOS: https://support.apple.com/en-us/HT212147 | https://support.apple.com/en-us/HT212177

سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیب‌پذیر می‌کند.

Sudo

در بهمن، مرکز مدیریت راهبردی افتای ریاست جمهوری در گزارش زیر به بررسی آسیب‌پذیری جدید Sudo پرداخت:

• https://www.afta.gov.ir/portal/home/?news/235046/237267/242674/

بهره‌جویی از آسیب‌پذیری مذکور به هر کاربر محلی اجازه می‌دهد بدون نیاز به فرآیند احراز هویت، امتیازات سطح بالا را در سیستم‌های ‌عامل‌ مشابه Unix دریافت کند. جزییات بیشتر در لینک زیر قابل مطالعه است:

• https://www.sudo.ws/alerts/unescape_overflow.html

دروپـل

1 بهمن، جامعه دروپل (Drupal Community) با عرضه به‌روزرسانی‌های امنیتی، یک آسیب‌پذیری با شناسه CVE-2020-36193 را در برخی از نسخ Drupal اصلاح کرد؛ بهره‌جویی از آن، مهاجم را قادر به در اختیار گرفتن کنترل سامانه می‌کند. توضیحات کامل در این خصوص در لینک زیر قابل دسترس است:

• https://www.drupal.org/sa-core-2021-001