در اردیبهشت 1400، مایکروسافت، سیسکو، ویاِموِر، بیتدیفندر، سونیکوال، جونیپر نتورکز، گوگل، موزیلا، ادوبی، اسآپ، اپل، سامبا، وردپرس، دروپل، اگزیم و کدکاو اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به برخی از بااهیمتترین اصلاحیههای اردیبهشت ماه پرداخته شده است.
مـایـکـروسـافـت
21 اردیبهشت، شرکت مایکروسافت (Microsoft Corp)، مجموعهاصلاحیههای امنیتی ماهانه خود را برای ماه میلادی می منتشر کرد. اصلاحیههای مذکور در مجموع 55 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند.
درجه اهمیت 4 مورد از این آسیبپذیریها “حیاتی” (Critical) و 50 مورد “مهم” (Important) اعلام شده است.
اکثر این آسیبپذیریها از نوع “اجرای کد بهصورت از راه دور” (Remote Code Execution) گزارش شدهاند.
CVE-2021-31166 یکی از آسیبپذیریهای بحرانی ترمیم شده توسط اصلاحیههای 21 اردیبهشت است که از Stack پروتکل HTTP ناشی میشود. مهاجم میتواند با ارسال یک بسته دستکاری شده به سرور مقصد، بدون نیاز به اصالتسنجی، اقدام به اجرای کد بهصورت از راه دور بر روی سرور کند. بر طبق استاندارد CVSS شدت این آسیبپذیری 9.8 از 10 گزارش شده است. با توجه به سهولت در سوءاستفاده از CVE-2021-31166 اعمال اصلاحیه مربوطه در اسرع وقت توصیه اکید میشود.
CVE-2021-26419، دیگر آسیبپذیری “حیاتی” این ماه است که بخش Scripting Engine مرورگر Internet Explorer از آن متأثر میشود. علاوه بر تزریق کد Exploit در سایتی اینترنتی و هدایت کاربر به آن، مهاجم میتواند با جاسازی یک افزونه ActiveX با برچسب “ایمن برای اجرا شدن” (Safe for Initialization) در یک برنامه یا بکارگیری Internet Explorer Rendering Engine در یک سند تحت Office و فریب کاربر در باز کردن آن اقدام به سوءاستفاده از این آسیبپذیری و اجرای کد دلخواه خود کند.
CVE-2021-31194 سومین آسیبپذیری “حیاتی” این ماه است که OLE Automation از آن تأثیر میپذیرد. سوءاستفاده از این آسیبپذیری امکان اجرای کد بهصورت از راه دور را برای مهاجم بدون نیاز به هر گونه دخالت قربانی فراهم میکند.
CVE-2021-28476 نیز ضعفی “حیاتی” در Hyper-V است که سوءاستفاده از آن مهاجم را قادر میسازد تا از روی ماشین مجازی میهمان، هسته میزبان Hyper-V را وادار به فراخوانی دادهها از روی نشانیهای بالقوه نادرست کند.
همچنین سه مورد از آسیبپذیریهای ترمیم شده در 21 اردیبهشت از نوع “روز-صفر” (Zero-day) بوده و جزییات آنها پیشتر افشا شده بود. هر چند نمونهای از مورد سوءاستفاده قرار گرفتن آنها بهصورت عمومی گزارش نشده است. فهرست این آسیبپذیریها بهشرح زیر است:
- CVE-2021-31204 – ضعفی از نوع “ترفیع امتیازی” (Elevation of Privilege) است که محصولات .NET و Visual Studio از آن تأثیر میپذیرند.
- CVE-2021-31207 – ضعفی از نوع “عبور از سد امکانات امنیتی” (Security Feature Bypass) در سرویسدهنده Microsoft Exchange است. وجود این آسیبپذیری در جریان رقابت Pwn2Own در سال میلادی جاری افشا شده بود.
- CVE-2021-31200 – ضعفی از نوع “اجرای کد به صورت از راه دور” است که مجموعه ابزارهای Common Utilities از آن متأثر میشوند.
جزییات بیشتر در خصوص مجموعهاصلاحیههای ماه می مایکروسافت را در گزارش زیر بخوانید:
https://newsroom.shabakeh.net/22191/
سـیـسـکـو
شرکت سیسکو (Cisco Systems Inc) در اردیبهشت ماه در چندین نوبت اقدام به عرضه اصلاحیههای امنیتی برای برخی از محصولات خود کرد. این بهروزرسانیها بیش از 110 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 7 مورد آنها “حیاتی” و 27 مورد “بالا” (High) گزارش شده است. آسیبپذیری به حملاتی همچون “اجرای کد بهصورت از راه دور”، “عبور از سد سازوکارهای کنترلی”، “نشت اطلاعات” (Information Disclosure) و “از کاراندازی سرویس” (Denial of Service) از جمله اشکالات مرتفع شده توسط بهروزرسانیهای جدید هستند. توضیحات کامل در مورد بهروزرسانیهای عرضه شده در لینک زیر قابل دسترس است:
https://tools.cisco.com/security/center/publicationListing.x
ویامور
۱۵ اردیبهشت، شرکت ویامور (VMware, Inc) با انتشار بهروزرسانی، یک ضعف امنیتی “حیاتی” (Critical) را در
vRealize Business for Cloud ترمیم کرد. سوءاستفاده از این باگ مهاجم را قادر به اجرای کد بهصورت از راه دور بر روی سرورهای آسیبپذیر میکند.
به آسیبپذیری مذکور، شناسهCVE-2021-21984 تخصیص داده شده و بر پایه CVSSv3، شدت حساسیت آن 9.8 گزارش شده است.
این ضعف امنیتی از یک VAMI API غیرمجاز ناشی میشود و به مهاجم با دسترسی شبکهای امکان میدهد تا از طریق توابع VAMI Upgrade API به بستر مجازی vRealize Business for Cloud دسترسی پیدا کند.
نسخ تا قبل از ۷.۶ محصول vRealize Business for Cloud به CVE-2021-21984 آسیبپذیر اعلام شدهاند.
ویامور توصیه کرده که پیش از اعمال نسخه ۷.۶ نسبت به تهیه Snapshot اقدام شود.
با توجه به شدت حساسیت آسیبپذیری مذکور و سهولت سوءاستفاده از آن به راهبران vRealize Business for Cloud توصیه میشود تا با دنبال کردن مراحل اشاره شده در راهنمای زیر نسبت به ارتقای این محصول اقدام کنند:
https://kb.vmware.com/s/article/83475
در سالهای اخیر موارد متعددی از سوءاستفاده هکرهای مستقل و مهاجمان با پشتوانه دولتی از آسیبپذیریهای ویامور بهمنظور دسترسی یافتن به شبکههای سازمانی دیده شده است.
چندین گروه از گردانندگان باجافزار از جمله RansomExx،وBabuk Locker و Darkside نیز با بکارگیری ضعفهای امنیتی، اطلاعات بر روی دیسکهای سخت مجازی نمونههای ESXi را که توسط برخی سازمانها بهعنوان فضای ذخیرهسازی مرکزی استفاده میشوند رمزگذاری کردند.
بـیـتدیـفـنـدر
در دومین ماه از سال 1400 شرکت بیتدیفندر (Bitdefender Corp) با انتشار نسخه جدید، دو آسیبپذیری با شناسههای CVE-2021-3423 (با شدت حساسیت 7.8 از 10) و CVE-2020-15279 (با شدت حساسیت 4 از 10) را در ضدویروسهای سازمانی خود ترمیم و اصلاح کرد که توضیحات آنها در لینکهای زیر قابل دسترس است:
https://www.bitdefender.com/support/security-advisories/privilege-escalation-in-bitdefender-gravityzone-business-security-va-9557/
https://www.bitdefender.com/support/security-advisories/scanning-exclusion-paths-disclosure-in-best-for-windows-va-9380/
سـونیـکوال
سونیکوال (SonicWall Inc) نیز با انتشار یک توصیهنامه امنیتی از سوءاستفاده حداقل یک گروه از مهاجمان از آسیبپذیریهای روز-صفر در محصولات Email Security ساخت این شرکت خبر داد. به کلیه راهبران محصولات سونیکوال از جمله محصولات Email Security مطالعه اطلاعیه امنیتی زیر توصیه میشود:
جـونیـپر نـتورکـز
جونیپر نتورکز (Juniper Networks, Inc) هم در اردیبهشت با ارائه بهروزرسانی چندین ضعف امنیتی را محصولات مختلف این شرکت ترمیم کرد. سوءاستفاده از ضعفهای مذکور مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11170&cat=SIRT_1&actp=LIST
گـوگـل
در اردیبهشت ماه شرکت گوگل (Google LLC) در سه نوبت با عرضه بهروزرسانی اقدام به ترمیم آسیبپذیریهای امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 20 اردیبهشت انتشار یافت 90.0.4430.212 است. فهرست اشکالات مرتفع شده در لینکهای زیر قابل دریافت و مشاهده است:
https://chromereleases.googleblog.com/2021/05/stable-channel-update-for-desktop.html
https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_26.html
مـوزیـلا
در ماهی که گذشت شرکت موزیلا (Mozilla Corp) با ارائه بهروزرسانی، در مجموع، 10 آسیبپذیری را در مرورگر Firefox و نرمافزار Thunderbird برطرف کرد. توضیحات بیشتر در لینکهای زیر قابل مطالعه است:
https://www.mozilla.org/en-US/security/advisories/mfsa2021-22/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-20/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-19/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-18/
ادوبـی
۲۱ اردیبهشت، شرکت ادوبی (Adobe, Inc) مجموعه اصلاحیههای امنیتی ماه میلادی می خود را منتشر کرد. اصلاحیههای مذکور، در مجموع، بیش از ۴۰ ضعف امنیتی را در ۱۲ محصول این شرکت ترمیم میکنند.
۱۴ مورد از آسیبپذیریهای ترمیم شده توسط این اصلاحیهها، مجموعه نرمافزارهای Acrobat / Reader را تحت تأثیر قرار میدهند. درجه حساسیت ۱۰ مورد از این ۱۴ آسیبپذیری “حیاتی” گزارش شده است.
یکی از ضعفهای امنیتی مذکور با شناسه CVE-2021-28550 از مدتی پیش مورد سوءاستفاده مهاجمان قرار گرفته است. این آسیبپذیری مهاجم را قادر به اجرای کد بر روی دستگاه قربانی بهصورت از راه دور میکند.
با نصب بهروزرسانی ماه می، نسخه نگارشهای جاری نرمافزارهای Acrobat DC و Acrobat Reader DC به ۲۰۲۱.۰۰۱.۲۰۱۵۵، نگارشهای ۲۰۲۰ به ۲۰۲۰.۰۰۱.۳۰۰۲۵ و نگارشهای ۲۰۱۷ آنها به ۲۰۱۷.۰۱۱.۳۰۱۹۶ تغییر خواهد کرد.
اطلاعات بیشتر در خصوص مجموعه اصلاحیههای ماه می ادوبی در لینک زیر قابل مطالعه است:
https://helpx.adobe.com/security.html
اسآپ
اسآپ (SAP SE) دیگر شرکتی بود که در اردیبهشت ماه 1400 با انتشار بهروزرسانی امنیتی، آسیبپذیریهایی را در چندین محصول خود برطرف کرد. بهرهجویی از بعضی از این آسیبپذیریهای ترمیم شده مهاجم را قادر به در اختیار گرفتن کنترل سیستم میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=576094655
اپـل
در اردیبهشت ماه، شرکت اپل (Apple, Inc) با انتشار بهروزرسانی، ضعفهایی امنیتی را در چندین محصول خود از جمله سیستم عامل macOS ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://support.apple.com/en-us/HT201222
سـامـبـا
گروه سامبا (Samba Team) با عرضه بهروزرسانی، یک ضعف امنیتی با شناسه CVE-2021-20254 را در نرمافزار کدباز Samba برطرف کرد. سوءاستفاده از این ضعف ترمیم شده در اختیار گرفتن کنترل سیستم آسیبپذیر را برای مهاجم فراهم میکند:
https://www.samba.org/samba/security/CVE-2021-20254.html
وردپـرس
23 اردیبهشت، بنیاد وردپرس نسخه 5.7.2 سامانه مدیریت محتوای WordPress را عرضه کرد. در نسخه مذکور ضعفهایی ترمیم شده که سوءاستفاده از برخی آنها به مهاجم امکان میدهد تا کنترل سایت تحت مدیریت این سامانه را به دست بگیرد. اطلاعات بیشتر در این مورد در لینک زیر قابل مطالعه است:
https://wordpress.org/news/2021/05/wordpress-5-7-2-security-release/
دروپـل
۱ اردیبهشت، جامعه دروپل (Drupal Community) با عرضه بهروزرسانیهای امنیتی، یک آسیبپذیری با شناسه CVE-2020-13672 را در برخی از نسخ Drupal اصلاح کرد؛ سوءاستفاده از آن، مهاجم را قادر به در اختیار گرفتن کنترل سامانه میکند. توضیحات کامل در این خصوص در لینک زیر قابل دسترس است:
https://www.drupal.org/sa-core-2021-002
اگـزیـم
در اردیبهشت ماه، با انتشار نسخه 4.94.2، بیش از 20 آسیبپذیری امنیتی در نرمافزار Exim ترمیم و اصلاح شد. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://afta.gov.ir/portal/home/?news/235046/237266/243574/
کـدکـاو
در اوایل امسال مشخص شد که از 12 بهمن 1399 مهاجمان موفق به دستدرازی به نرمافزار Codecov شده و عملا در قالب یک حمله از نوع “زنجیره تأمین” (Supply Chain) قادر به در اختیار گرفتن سامانههای مشتریان این نرمافزار شدهاند. کدکاو (Codecov LLC) در اردیبهشت اقدام به انتشار بهروزرسانی در این خصوص کرد که توضیحات آن در توصیهنامه زیر قابل دریافت است:
https://about.codecov.io/security-update/