بهروزرسانیها و اصلاحیههای مهر ۱۴۰۰
مـایـکـروسـافـت
سهشنبه 20 مهر، شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی اکتبر منتشر کرد. اصلاحیههای مذکور بیش از 70 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند.
درجه اهمیت 3 مورد از آسیبپذیریهای ترمیم شده این ماه “حیاتی” (Critical) و تقریباً دیگر موارد “مهم” (Important) اعلام شده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به برخی از با اهمیتترین اصلاحیههای ماه اکتبر مایکروسافت پرداخته شده است.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را به شرح زیر در محصولات مختلف مایکروسافت ترمیم میکنند:
- “ترفیع امتیازی” (Elevation of Privilege)
- “اجرای کد به صورت از راه دور” (Remote Code Execution)
- “افشای اطلاعات” (Information Disclosure)
- “جعل” (Spoofing)
- “عبور از سد امکانات امنیتی” (Security Feature Bypass)
- “منع سرویس” (Denial of Service – به اختصار DoS)
4 مورد از آسیبپذیریهای ترمیم شده این ماه، از نوع “روز-صفر” (شناسههای CVE-2021-40449 ,CVE-2021-41338 ,CVE-2021-40469 ,CVE-2021-41335) میباشند. مایکروسافت آن دسته از آسیبپذیریهایی را از نوع روز-صفر میداند که پیشتر اصلاحیه رسمی برای ترمیم آنها ارائه نشده، جزییات آنها بهطور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.
اولین ضعف امنیتی “روز-صفر” که در این ماه ترمیم شده، دارای شناسه CVE-2021-40449 بوده که سوءاستفاده از آن به تعامل کاربر نیازی ندارد و قابلیت “ترفیع امتیازی” را برای بدافزارها یا مهاجم در نسخههای مختلف سیستمعامل Windows (از طریق Win32k Kernel driver) فراهم میکند. آسیبپذیری مذکور به طور فعال مورد سوءاستفاده قرار گرفته و دارای درجه شدت 7/8 از 10 میباشد.
این ضعف امنیتی از یک آسیبپذیری در راهانداز Win32k که در گذشته ناشناخته بوده، استفاده میکند و بهرهجویی از آن تا حد زیادی به تکنیکی برای نشت آدرسهای اصلی ماژولهای Kernel متکی است.
شرکت کسپرسکی (.Kaspersky Lab) در گزارش خود که جزییات کامل آن در نشانی زیر ارائه شده، اعلام نموده که این آسیبپذیری توسط مهاجمان در “کمپینهای گسترده جاسوسی علیه شرکتهای فناوری اطلاعات، پیمانکاران نظامی/دفاعی و نهادهای دیپلماتیک” استفاده شده است.
https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/
در بخشی از حملات، بکارگیری و نصب بدافزارهای موسوم به Remote Access Trojan – به اختصار RAT – توسط مهاجمان، منجر به سوءاستفاده از آسیبپذیری روز صفر مذکور در Windows و ارتقاء سطح دسترسی شده بود. محققان کسپرسکی این نوع فعالیت بدافزاری را MysterSnail نامگذاری کردهاند و به علت شباهت کد و استفاده مجدد از زیرساخت کنترل و فرماندهی (C2) آن را به مهاجمان IronHusky و تهدیدات مستمر و پیشرفته (Advanced Persistent Threat – به اختصار APT) چینی مرتبط با 2012 نسبت دادهاند.
دستیابی به سطح دسترسی بالا در سیستمهای آسیبپذیر اولین قدم برای تبدیل شدن به یک مدیر دامنه و اطمینان از دسترسی کامل به شبکه یک سازمان است. از آنجایی که مهاجمان در حال حاضر از این ضعف امنیتی جهت نفوذ به سازمانها و به دست آوردن سطح دسترسی بالا (Administrator) استفاده میکنند، راهبران امنیتی باید وصله این آسیبپذیری را در اولویت قرار دهند.
دیگر ضعف امنیتی از نوع “روز-صفر” این ماه، آسیبپذیری با شناسه CVE-2021-41338 است که “عبور از سد امکانات امنیتی” را در Windows AppContainer Firewall برای مهاجم فراهم میکند و درجه شدت آن 5/5 از 10 است.
سومین ضعفامنیتی ازنوع “روز-صفر” این ماه، آسیبپذیری با شناسه CVE-2021-40469 میباشد که مربوط به Windows DNS و از نوع “اجرای کد از راه دور” است. درجه شدت ضعف امنیتی مذکور 7/2 از 10 میباشد.
آخرین آسیبپذیری “روز-صفر” ترمیم شده در این ماه، ضعفی با درجه شدت 7/8 از 10 و با شناسه CVE-2021-41335 است که از نوع “ترفیع امتیازی” در Windows Kernel میباشد.
CVE-2021-40461 یکی از آسیبپذیری حیاتی ماه اکتبر است که با سوءاستفاده از ضعفی در Network Virtualization Service Provider “اجرای کد از راه دور” را بر روی سیستم قربانی برای مهاجم فراهم میکند. این آسیبپذیری دارای درجه شدت 8 از 10 میباشد.
آسیبپذیری حیاتی دیگر، CVE-2021-38672 نیز ناشی از باگی در Windows Hyper-V است و منجر به “اجرای کد از راه دور” بر روی سیستم موردنظر شده و درجه شدت آن نیز مشابه CVE-2021-40461 میباشد.
از دیگر آسیبپذیریهای بااهمیت این ماه میتوان به ضعف امنیتی با شناسه CVE-2021-40486 اشاره کرد که در صورت بهرهجویی منجر به “اجرای کد از راه دور” میشود.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعهاصلاحیههای اکتبر ۲۰۲۱ مایکروسافت در گزارش زیر که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده قابل مطالعه است:
https://afta.gov.ir/portal/home/?news/235046/237266/244577/
سـیسـکو
شرکت سیسکو (Cisco Systems, Inc) در مهر ماه در چندین نوبت اقدام به عرضه بهروزرسانیهای امنیتی برای برخی از محصولات خود کرد. این بهروزرسانیها، 37 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 15 مورد از آنها از نوع “بالا” (High) و 22 مورد از نوع “متوسط” (Medium) گزارش شده است. آسیبپذیری به حملاتی همچون “منع سرویس”، “تزریق کد از طریق سایت” (Cross-Site Scripting)، “ترفیع امتیازی”، “تزریق فرمان” (Command Injection)، “افشای اطلاعات” و “سرریز حافظه” (Buffer Overflow) از جمله مهمترین اشکالات مرتفع شده توسط بهروزرسانیهای جدید هستند. مهاجم میتواند از بعضی از این آسیبپذیریها برای کنترل سیستم آسیبدیده سوءاستفاده کند. توضیحات کامل در مورد بهروزرسانیهای عرضه شده در لینک زیر قابل دسترس است:
https://tools.cisco.com/security/center/publicationListing.x
مـکآفـی
29 مهر، شرکت مکآفی اینترپرایز (McAfee Enterprise) اقدام به انتشار Update 11 نرمافزار McAfee ePolicy Orchestrator 5.10 – به اختصار ePO – کرد. در بهروزرسانی جدید، اصلاحاتی شامل بهینهسازی میزان استفاده از حافظه و رفع چند باگ لحاظ شده است. شرکت مکآفی اینترپرایز، ارتقای ePO 5.10 به Update 11 را “الزامی” (Mandatory) گزارش کرده است. مشروح اطلاعات فنی بهروزرسانی مذکور در لینک زیر قابل دریافت است:
ویامور
در 2 مهر، شرکت ویامور (VMware, Inc) با انتشار توصیهنامههای امنیتی، نسبت به ترمیم محصولات زیر اقدام کرد:
- VMware Cloud Foundation
- VMware vCenter Server
- VMware vRealize Operations
- VMware vRealize Orchestrator
- VMware vRealize Automation
- VMware vRealize Log Insight
- VMware vRealize Suite Lifecycle Manager
سوءاستفاده از برخی از این ضعفهای امنیتی ترمیم شده توسط این بهروزرسانیها، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. جزییات بیشتر آن در لینکهای زیر قابل مطالعه است:
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
https://www.vmware.com/security/advisories/VMSA-2021-0024.html
https://www.vmware.com/security/advisories/VMSA-2021-0023.html
https://www.vmware.com/security/advisories/VMSA-2021-0022.html
https://www.vmware.com/security/advisories/VMSA-2021-0021.html
اوراکـل
27 مهر ۱۴۰۰، شرکت اوراکل (Oracle Corp) مطابق با برنامه زمانبندی شده سهماهه خود، با انتشار مجموعهبهروزرسانیهای موسوم به Critical Patch Update اقدام به ترمیم 419 آسیبپذیری امنیتی در دهها محصول ساخت این شرکت کرد. سوءاستفاده از برخی از آسیبپذیریهای مذکور مهاجم را قادر به اجرای کد بهصورت از راه دور بدون نیاز به هر گونه اصالتسنجی میکند. جزییات کامل در خصوص آنها در لینک زیر قابل دریافت است:
https://www.oracle.com/security-alerts/cpuoct2021.html
ادوبـی
در مهر ماه، شرکت ادوبی (Adobe, Inc.) مجموعه اصلاحیههای امنیتی ماه اکتبر را منتشر کرد. اصلاحیههای مذکور، در مجموع 10 آسیبپذیری را در 6 محصول زیر ترمیم میکنند:
- Adobe Acrobat and Reader
- Adobe Connect
- Adobe Acrobat Reader for Android
- Adobe ops-cli
- Adobe Commerce
- Adobe Campaign Standard
بیشترین آسیبپذیری ترمیم شده این ماه ادوبی، مرتبط به Adobe Acrobat and Reader با 4 مورد بوده است. اهمیت 2 مورد از ضعفهای امنیتی مذکور “حیاتی” و 2 مورد “متوسط” اعلام شده است. آسیبپذیریهای “حیاتی” مذکور میتوانند منجر به “اجرای کد از راه دور” شوند که مهاجم را قادر میسازد دستوراتی را در رایانههای آسیبپذیر اجرا کنند. در حالی که ضعفهای امنیتی “متوسط” ترمیم شده در Adobe Acrobat and Reader میتواند “ترفیع امتیازی” را برای مهاجم فراهم کنند.
به گزارش شرکت مهندسی شبکه گستر، با نصب بهروزرسانی ماه اکتبر، نسخه نگارشهای جاری نرمافزارهای Acrobat DC و Acrobat Reader DC به ۲۱.۰۰۷.۲۰۰۹۹، نگارشهای ۲۰۲۰ به ۲۰.۰۰۴.۳۰۰۱۷ و نگارشهای ۲۰۱۷ آنها به ۱۷.۰۱۱.۳۰۲۰۴ تغییر خواهد کرد.
لازم به ذکر است که تمامی ضعفهای امنیتی ترمیم شده این ماه به نوعی به تعامل کاربر مانند مرور یک صفحه وب یا باز کردن یک فایل PDF نیاز دارند. اگر چه موردی مبنی بر سوءاستفاده از آسیبپذیریهای ترمیم شده در 20 مهر گزارش نشده، اما ادوبی به مشتریان خود توصیه میکند که در اسرع وقت اقدام به نصب بهروزرسانیها کنند.
اطلاعات بیشتر در خصوص مجموعه اصلاحیههای ماه اکتبر ادوبی در لینک زیر قابل مطالعه است:
https://helpx.adobe.com/security/security-bulletin.html
https://helpx.adobe.com/security/products/acrobat/apsb21-104.html
https://helpx.adobe.com/security/products/connect/apsb21-91.html
https://helpx.adobe.com/security/products/reader-mobile/apsb21-89.html
https://helpx.adobe.com/security/products/ops_cli/apsb21-88.html
https://helpx.adobe.com/security/products/magento/apsb21-86.html
https://helpx.adobe.com/security/products/campaign/apsb21-52.html
گـوگـل
شرکت گوگل (Google, LLC) در مهر ماه، در چندین نوبت اقدام به ترمیم آسیبپذیریهای امنیتی مرورگرChrome کرد. این شرکت در دوم مهر ماه، نسخه 94.0.4606.61 را برای مرورگر فوق ارائه نمود. این نسخه از مرورگر، ضعف امنیتی به شناسه CVE-2021-37973 را ترمیم میکند. آخرین نسخه این مرورگر که در 28 مهر انتشار یافت، نسخه 95.0.4638.54 است. فهرست اشکالات مرتفع شده در لینکهای زیر قابل دریافت و مشاهده است:
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_24.html
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html
https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop_19.html
اپـل
در مهر ماه، شرکت اپل (Apple, Inc) با انتشار بهروزرسانی، ضعفهایی امنیتی متعددی را در چندین محصول خود از جمله iOS ،MacOS و iPadOS 15.0.2 ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. توصیه میشود با مراجعه به نشانیهای زیر، بهروزرسانی مربوطه هر چه سریعتر اعمال شود.
https://support.apple.com/en-us/HT212824
https://support.apple.com/en-us/HT212825
https://support.apple.com/en-us/HT212846
مـوزیـلا
در ماهی که گذشت شرکت موزیلا (Mozilla, Corp) با ارائه بهروزرسانی، چند آسیبپذیری امنیتی را در مرورگر Firefox و نرمافزار Thunderbird برطرف کرد. اصلاحیههای مذکور، در مجموع 8 آسیبپذیری را محصولات مذکور ترمیم میکنند. درجه حساسیت 5 مورد از آنها “بالا” و 3 مورد “متوسط” گزارش شده است. توضیحات بیشتر در لینک زیر قابل مطالعه است:
https://www.mozilla.org/en-US/security/advisories/
آپاچی
12 مهر، بنیاد نرمافزاری آپاچی (Apache Software Foundation)، با انتشار نسخه 2.4.50 این محصول از ترمیم یک آسیبپذیری پویش مسیر (Path Traversal) با شناسه CVE-2021-41773 خبر داد. سوءاستفاده از ضعف مذکور دسترسی به محتوای فایلهای ذخیره شده بر روی سرور آسیبپذیر را برای مهاجمان فراهم میکرد. بر اساس توضیحات این بنیاد، تنها نسخه 2.4.49 از آسیبپذیری CVE-2021-41773 متاثر میشود. با این توضیح که بهرهجویی از آسیبپذیری مذکور در صورتی موفق خواهد بود که قابلیت “Require all denied” فعال نباشد. ضمن آنکه سوءاستفاده موفق از CVE-2021-41773 میتواند منجر به نشت کد منبع (Source Code) فایلهایی نظیر اسکریپتهای CGI شود.
خیلی زود پس از انتشار نسخه 2.4.50، محققان امنیتی از آسیبپذیری این نسخه جدید خبر دادند و نمونههایی از بهرهجوهای قابل اجرا نیز بر روی اینترنت در دسترس قرار گرفت. سوءاستفاده از این آسیبپذیری جدید که به آن شناسه CVE-2021-42013 تخصیص داده شده میتواند در صورت غیرفعال بودن گزینه “Require all denied” منجر به اجرای کد بهصورت از راه دور بر روی سرور شود.
به منظور وصله کردن این آسیب پذیری روز-صفر جدید، بنیاد آپاچی در 15 مهر ماه اقدام به انتشار نسخه 2.4.51 کرد.
هر دو آسیبپذیری CVE-2021-41773 و CVE-2021-42013 توسط مهاجمان در حال بهرهجویی هستند. لذا به تمامی راهبران Apache HTTP Server توصیه اکید میشود که در صورت استفاده از هر یک از نسخ 2.4.49 و 2.4.50 در اسرع وقت نسبت به ارتقای این محصول به نسخه 2.4.51 اقدام کنند.
در 23 مهر نیز این بنیاد، با انتشار توصیهنامهای، ضعفی به شناسه CVE-2021-42340 را در چندین نسخه از Apache Tomcat رفع کرد که سوءاستفاده از آسیبپذیری مذکور مهاجم را قادر به حملهای از نوع “منع سرویس” میکند. توصیهنامههای آپاچی در لینکهای زیر قابل مطالعه است:
https://httpd.apache.org/security/vulnerabilities_24.html
جـونیـپر نـتورکـز
جونیپر نتورکز (Juniper Networks, Inc) هم در مهر ماه با ارائه بهروزرسانی چندین ضعف امنیتی را محصولات مختلف این شرکت ترمیم کرد. سوءاستفاده از ضعفهای مذکور مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES