نماد سایت اتاق خبر شبکه گستر

به‌روزرسانی‌ها و اصلاحیه‌های آذر ۱۴۰۰

در آذر ۱۴۰۰، مایکروسافت، سیسکو، مک‌آفی‌اینترپرایز، بیت‌دیفندر، کسپرسکی، سوفوس، وی‌ام‌ور، ادوبی، گوگل، اپل، موزیلا، اس‌آپ و آپاچی اقدام به عرضه به‌روزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به برخی از بااهمیت‌ترین اصلاحیه‌های آذر ماه پرداخته شده است.

 

مـایـکـروسـافـت

شرکت مایکروسافت (Microsoft Corp)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی دسامبر منتشر کرد. اصلاحیه‌های مذکور  بیش از 60 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند.

درجه اهمیت 7 مورد از آسیب‌پذیری‌های ترمیم شده ماه دسامبر 2021، “حیاتی” (Critical) و دیگر موارد “مهم” (Important) اعلام شده است.

این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را به شرح زیر در محصولات مختلف مایکروسافت ترمیم می‌کنند:

مجموعه ‌اصلاحیه‌های امنیتی ماه دسامبر 2021 شامل ترمیم آسیب‌پذیری مربوط به Windows Installer است که به طور فعال مورد سوءاستفاده قرار گرفته و در کارزارهای توزیع بدافزار استفاده می‌شود.

6 مورد از آسیب‌پذیری‌های ترمیم شده ماه دسامبر، از نوع “روز-صفر” (شناسه‌های CVE-2021-43890،وCVE-2021-41333،وCVE-2021-43880،وCVE-2021-43893،وCVE-2021-43240،وCVE-2021-43883) می‌باشند، اگرچه تنها یک مورد از آسیب‌پذیری‌های “روز-صفر” ترمیم شده در ماه دسامبر به طور فعال مورد سوء‌استفاده قرار گرفته است.

مایکروسافت آن دسته از آسیب‌پذیری‌هایی را از نوع روز-صفر می‌داند که پیش‌تر اصلاحیه رسمی برای ترمیم آن‌ها ارائه نشده، جزییات آن‌ها به‌طور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.

فهرست 6 ضعف امنیتی “روز-صفر” ترمیم شده آخرین ماه از سال میلادی 2021،  به شرح زیر است:

در ادامه به بررسی 7 آسیب‌پذیری ترمیم شده “حیاتی” ماه دسامبر می‌پردازیم:

اولین ضعف امنیتی حیاتی دارای شناسه CVE-2021-43233 است که مهاجم را قادر به سوءاستفاده از پودمان RDP (Remote Desktop Protocol) نموده و بر روی Windows Remote Desktop Client تاثیر می‌گذارد.  

آسیب‌پذیری حیاتی دیگر، CVE-2021-43217 نیز ناشی از باگی در Windows Encrypted File System – به اختصار EFS – است. این ضعف امنیتی می‌تواند بدون توجه به استفاده یا عدم استفاده از EFS در سیستم مورد نظر فعال شده و مورد سوءاستفاده قرار بگیرد. سوءاستفاده مهاجم از این آسیب‌پذیری و بکارگیری یک فایل دستکاری شده می‌تواند منجر به خطای موسوم به سرریز حافظه (Buffer Overflow Write) و در نتیجه اجرای کد احراز هویت نشده با راه‌اندازی EFS شود. نمونه اثبات‌گر این ضعف امنیتی به طور عمومی منتشر شده و ضروری است هر چه سریع‌تر نسبت به وصله آن اقدام شود.

سومین ضعف امنیتی حیاتی آخرین ماه میلادی 2021، دارای شناسه CVE-2021-43215 است و Windows 7 را در سرورهای کمتر فراگیر Internet Storage Name Service Server – به اختصار iSNS – متاثر می‌کند؛ مولفه‌ای نرم‌افزاری که اتصالات را از طریق iSCSI در Storage Area Network مدیریت می‌کند. مهاجم با سوءاستفاده از آسیب‌پذیری مذکور و ارسال بسته‌های دستکاری شده می‌تواند در ماشینی که به SAN متصل است، منجر به اجرای کد از راه دور شود.

دو آسیب‌پذیری حیاتی دیگر محصولاتی غیر از Windows را متاثر می‌کند. CVE-2021-43905 که با سوءاستفاده از Microsoft Office App در  Windows Store سیستم را مورد هدف قرار می‌دهد و CVE-2021-43907 که Visual Studio Code را با سوءاستفاده از افزونه Windows Subsystem for Linux – به اختصار WSL – متاثر می‌کند.

ششمین ضعف امنیتی حیاتی در یکی از جدیدترین محصولات مایکروسافت به نام Defender for IOT بوده و دارای شناسه CVE-2021-42310 می‌باشد. این نرم‌افزار متصل به Azure، داده‌های دستگاه‌های IoT را برای شناسایی آسیب‌پذیری‌های احتمالی و مسائل امنیتی ثبت می‌کند. اما یک آسیب‌پذیری در نسخه 10.5.2 و بالاتر Defender for IOT این امکان را برای مهاجم فراهم می‌کند تا داده‌هایی را به کنسول مستقر ارسال نموده و منجر به اجرای کد از راه دور شود. (هفت آسیب‌پذیری دیگر نیز از نوع “اجرای کد از راه دور” و یک آسیب‌پذیری از نوع “افشای اطلاعات” در Defender for IOT وجود دارد.)

آخرین آسیب پذیری حیاتی ماه دسامبر با سوءاستفاده از ضعفی در Microsoft’s 4K Wireless Display Adapter، “اجرای کد از راه دور” را بر روی سیستم قربانی برای مهاجم فراهم می‌کند. این یک آسیب‌پذیری در سطح میان‌ا‌فزار (Firmware-level) بوده و نیاز به دانلود یک برنامه به‌روزرسانی شده دارد. مهاجم احراز هویت نشده می‌تواند با ارسال بسته‌های دستکاری شده در دستگاه‌های آسیب‌پذیر wireless display adapter، کد دلخواه را اجرا نماید.

با توجه به این‌که نمونه اثبات‌گر برخی از ضعف‌های امنیتی ماه دسامبر منتشر شده و بعضی از آن‌ها به طور فعال مورد سوءاستفاده قرار گرفته‌اند، توصیه می‌شود کاربران در اسرع وقت نسبت به به‌روز‌رسانی وصله‌ها اقدام نمایند.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه‌اصلاحیه‌های دسامبر ۲۰۲۱ مایکروسافت در گزارش زیر که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده قابل مطالعه است:

https://afta.gov.ir/portal/home/?news/235046/237266/244794/

 

سـیسـکو

 شرکت سیسکو  (.Cisco Systems, Inc) در آذر ماه در چندین نوبت اقدام به عرضه به‌روز‌رسانی‌های امنیتی برای برخی از محصولات خود کرد  این به‌روز‌رسانی‌ها، 8 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 2 مورد از آن‌ها “حیاتی”، 4 مورد از آن‌ها از نوع “بالا” (High) و 2 مورد از نوع “متوسط” (Medium) گزارش شده است. مهاجم می‌تواند از بعضی از این آسیب‌پذیری‌ها برای کنترل سیستم آسیب‌‌پذیر سوء‌استفاده کند. توضیحات کامل در مورد به‌روزرسانی‌های عرضه شده در لینک‌ زیر قابل دسترس است:

https://tools.cisco.com/security/center/publicationListing.x

 

مـک‌آفـی اینتـرپـرایز

 در آذر ماه، شرکت مک‌آفی اینترپرایز (McAfee Enterprise) اقدام به انتشار نسخ جدید زیر کرد:

همچنین این شرکت با انتشار ePolicy Orchestrator 5.10.0 Update 11 Hotfix 2 مجموعه آسیب‌پذیری‌های معروف به Log4J را نیز در این محصول ترمیم و برطرف کرد. جزییات بیشتر در این خصوص در لینک زیر قابل دریافت است:

https://kc.mcafee.com/corporate/index?page=content&id=KB95109

 

بـیـت‌دیـفنـدر

 در ماهی که گذشت شرکت بیت‌دیفندر (Bitdefender) نسخ زیر را منتشر کرد:

اطلاعات کامل در خصوص تغییرات و بهبودهای لحاظ شده در نسخ مذکور در لینک زیر قابل مطالعه است:

https://www.bitdefender.com/business/support/en/77212-48453-release-notes.html

 

کسـپرسـکی

 شرکت کسپرسکی (AO Kaspersky Lab) در 1 آذر با انتشار نسخ جدید، در مجموع، 3 آسیب‌پذیری را در محصولات زیر ترمیم کرد:

توضیحات این شرکت در مورد آسیب‌پذیری‌های مذکور در لینک زیر قابل مطالعه است:

https://support.kaspersky.com/general/vulnerability.aspx?el=12430#221121

 

سوفوس

 شرکت سوفوس (.Sophos, Ltd) در اوایل آذرماه طی اطلاعیه‌ای عنوان نموده که پس از 11 بهمن 1400، Sophos SSL VPN Client  دیگر قابلیت دانلود، نصب جدید و به‌روزرسانی‌ نخواهد داشت. سوفوس مشتریان را به نصب، استفاده از برنامه جدیدتر و پیشرفته‌تر Sophos Connect v2، تشویق  می‌کند. برنامه VPN Client جدید و بسیار پیشرفته سوفوس با Sophos (XG) Firewall و Sophos (SG) UTM کار می‌کند. اطلاعات بیشتر درخصوص راه‌اندازی Sophos Connect، در نشانی‌های زیر قابل دریافت و مطالعه است:

https://docs.sophos.com/nsg/sophos-connect/help/en-us/nsg/scon/learningContents/InstallScon.html

https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onlinehelp/index.html

https://support.sophos.com/support/s/article/KB-000040793?language=en_US

https://support.sophos.com/support/s/article/KB-000043396?language=en_US

در اواسط آذر ماه، شرکت مذکور، یک آسیب‌پذیری را در پورتال کاربران SG UTM، در زمان login کاربر در پورتال کشف نمود. ضعف امنیتی مذکور که توسط این شرکت ترمیم شده، از نوع “تزریق کد SQL”و(SQL Injection)  بوده و دارای شناسه CVE-2021-36807 می‌باشد.

شرکت سوفوس به کاربران محصولات Sophos SG UTM توصیه می‌کند که ضمن غیرفعال‌سازی پورتال کاربران، در اولین فرصت محصول مذکور را به آخرین نسخه موجود (نسخه ۹.۷۰۸ SG UTM ) ارتقاء دهند.

همچنین در این نسخه، OpenSSL نیز به‌روزرسانی شده است که دیگر مجموعه‌های رمزنگاری (cipher suites) را که شامل پروتکل تبادل کلید Non-EC Diffie-Hellman – به اختصار DH – می‌باشند، پشتیبانی نمی‌کند. این مجموعه‌های رمزنگاری مدتی است که ضعیف تلقی می‌شوند. جزییات بیشتر در خصوص آسیب‌پذیری مذکور در نشانی زیر قابل مطالعه است.

https://newsroom.shabakeh.net/22874/sg-utm-up2date-9-708-released.html

در ماهی که گذشت، سوفوس، به‌روزرسانی Firewall OS v18.5 MR2 (Build 380) را نیز ارائه نمود که شامل بهینه‌سازی‌هایی جهت افزایش امنیت و کارایی صورت گرفته و اصلاح اشکالات گزارش شده در نسخه‌های قبلی است. شرکت سوفوس به تمامی مشتریان توصیه می‌کند که فایروال خود را به آخرین نسخه میان‌افزار ارتقاء دهند تا از ویژگی‌های جدید ارائه شده در فایروال مذکور بهره‌مند شوند. بکارگیری Sophos Firewall OS v18.5 MR2  ضمن تضمین عملکرد بهینه فایروال به دلیل بهره‌مندی از جدیدترین فناوری‌ها و بهینه‌سازی‌های امنیتی، به بهترین شکل از سازمان شما در برابر تهدیدات محافظت می‌کند.

پس از کشف یک آسیب‌پذیری در کتابخانه Log4l در تاریخ 18 آذر 1400، که دارای درجه اهمیت “حیاتی” بوده و از نوع RCE (اجرای کد از راه دور) می‌باشد، توصیه‌نامه امنیتی سوفوس و جزئیات بیشتر در این خصوص در نشانی زیر قابل دریافت و مطالعه است.

https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce

SophosLabs در راستای حفاظت کامل از سرورهای وب مشتریان خود که ممکن است آسیب‌پذیر باشند، تعدادیIPS Signature  را در محصولات Sophos Endpoint،وSophos Firewall و Sophos SG UTM پیاده‌سازی کرده که هر گونه ترافیکی را که سعی در سوءاستفاده از آسیب‌پذیری مذکور دارد، شناسایی و مسدود می‌کند.

 

مشتریان Sophos XDR می‌توانند از یک Query به نشانی زیر برای کمک به شناسایی اجزای آسیب‌پذیر Log4j در محیط سازمان خود استفاده کنند.

https://community.sophos.com/intercept-x-endpoint/i/compliance/identify-vulnerable-log4j-apache-components?cmp=136634

Query مذکور نشان می‌دهد که آیا Log4j توسط راهبران و مدیران فناوری اطلاعات نصب شده است. در صورت شناسایی کتابخانه مذکور، بایستی فوراً با مراجعه به نشانی‌های زیر به‌روزرسانی‌های لازم انجام شده و تمامی پروسه‌های ورود به سیستم (Log) به منظور هرگونه نشانه‌ای از سوءاستفاده و آلودگی بررسی شود.

https://logging.apache.org/log4j/2.x/security.html

https://logging.apache.org/log4j/2.x/download.html

سوفوس با توجه به شدت و ماهیت گسترده این آسیب‌پذیری، به مشتریان توصیه می‌کند که استفاده از Log4j را در همه برنامه‌ها، سیستم‌ها و سرویس‌های خود بررسی کنند. در این راستا شرکت مذکور توصیه می‌کند که راهبران امنیتی ابتدا بر روی سرویس‌های منتشر شده در  اینترنت تمرکز کنند و دستورالعمل‌های به روزرسانی شرکت‌های مختلف را در خصوص این کتابخانه در اولین فرصت اعمال کنند. جهت کسب اطلاعات بیشتر در خصوص ضعف امنیتی Log4j مطالعه مقالات زیر توصیه می‌شود.

https://newsroom.shabakeh.net/22919/apache-log4j-vulnerability.html

 

وی‌ام‌ور

 در ماهی که گذشت، شرکت وی‌ام‌ور (VMware, Inc) با انتشار توصیه‌نامه‌های امنیتی، نسبت به ترمیم محصولات زیر اقدام کرد:

 

سوءاستفاده از ضعف‌های امنیتی ترمیم شده توسط این به‌روزرسانی‌ها، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیب‌پذیر و دستیابی به اطلاعات حساس می‌کند. جزییات بیشتر آن در لینک‌‌ زیر قابل مطالعه است:

https://www.vmware.com/security/advisories.html

 

ادوبـی

در آذر ماه، شرکت ادوبی (.Adobe, Inc) مجموعه اصلاحیه‌های امنیتی ماه دسامبر را منتشر کرد. اصلاحیه‌های مذکور، در مجموع 60 آسیب‌پذیری را در 11 محصول زیر ترمیم می‌کنند:

ادوبی در مجموعه اصلاحیه ماه دسامبر، یک آسیب‌پذیری با شناسه CVE-2021-43014 را در Adobe Connect ترمیم نموده که نسخه 11.4 و قبل‌تر این نرم‌افزار از آن تاثیر می‌پذیرند. درجه اهمیت ضعف امنیتی مذکور “مهم” (Important) بوده و سوءاستفاده مهاجم از این آسیب‌پذیری منجر به باگی موسوم به Arbitrary File System Write می‌شود. اطلاعات بیشتر در خصوص مجموعه اصلاحیه‌های ماه دسامبر 2021 در لینک زیر قابل مطالعه است:

https://helpx.adobe.com/security/security-bulletin.html

 

گـوگـل

 شرکت گوگل (Google, LLC) در آذر ماه، اقدام به ترمیم آسیب‌پذیری‌های امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 22 آذر ماه انتشار یافت، نسخه 96.0.4664.110 است. فهرست اشکالات مرتفع شده در لینک‌ زیر قابل دریافت و مشاهده است:

https://chromereleases.googleblog.com/2021/12/stable-channel-update-for-desktop_13.html

 

اپـل

در آذر ماه، شرکت اپل (.Apple, Inc) با انتشار به‌روزرسانی، ضعف‌های امنیتی متعددی را در چندین محصول خود از جمله iOS،وiPadOS،وwatchOS،وtvOS،وSafari،وSecurity Update Catalina و macOS  ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیب‌پذیر می‌کند. توصیه می‌شود با مراجعه به نشانی زیر، به‌روزرسانی مربوطه هر چه سریع‌تر اعمال شود.

https://support.apple.com/en-us/HT201222

 

مـوزیـلا

 در ماهی که گذشت شرکت موزیلا (Mozilla, Corp) با ارائه به‌روزرسانی، چند آسیب‌پذیری امنیتی را در مرورگر Firefox و نرم‌افزار Thunderbird و NSS برطرف کرد. اصلاحیه‌های مذکور، در مجموع 17 آسیب‌پذیری را در محصولات مذکور ترمیم می‌کنند. درجه حساسیت 1 مورد از آن‌ها “حیاتی”،  6 مورد از آن‌ها “بالا”، 7 مورد “متوسط” (Moderate) و 3 مورد “پایین” (Low) گزارش شده است. سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیب‌پذیر می‌کند. توضیحات بیشتر در لینک زیر قابل مطالعه است:

https://www.mozilla.org/en-US/security/advisories/

 

اس‌آپ

 اس‌آپ (SAP SE) نیز در 24 آذر 1400 با انتشار مجموعه‌اصلاحیه‌هایی، 27 آسیب‌پذیری را در چندین محصول خود برطرف کرد. شدت یک مورد از این ضعف‌های امنیتی 10 از 10، سه مورد 9.9 از 10 (بر طبق استاندارد CVSS) گزارش شده است. بهره‌جویی از بعضی از آسیب‌پذیری‌های ترمیم شده مهاجم را قادر به در اختیار گرفتن کنترل سیستم می‌کند. جزییات بیشتر در لینک زیر قابل مطالعه است:

https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+December+2021

آپاچی

در ماهی که گذشت، بنیاد نرم‌افزار آپاچی (Apache Software Foundation)، یک توصیه‌نامه امنیتی برای رفع یک ضعف امنیتی که مربوط به کتابخانه مبتنی بر Javaو(Log4j) سرورهای آپاچی می‌باشد، منتشر کرد. آسیب‌پذیری مذکور، حملاتی از نوع RCE (اجرای کد از راه دور) را برای مهاجمان فراهم می‌کند که کاربران خانگی و سازمان‌ها را در معرض خطر قرار می‌دهد.

Log4j توسط بنیاد نرم‌افزاری آپاچی توسعه یافته و به طور گسترده در برنامه‌های کاربردی سازمانی و سرویس‌های ابری مورد استفاده قرار گرفته است. ضعف امنیتی موجود در این کتابخانه که Log4Shell یا LogJam نامیده می‌شود، دارای شناسه CVE-2021-44228 می‌باشد. درجه شدت آسیب‌پذیری مذکور 10 از ۱۰ (بر طبق استاندارد CVSS) و با درجه اهمیت “حیاتی” گزارش شده است.

ضعف امنیتی “روز-صفر” مذکور به مهاجمان اجازه می‌دهد تا اسکریپت‌های مخرب را دانلود و اجرا نموده و امکان کنترل کامل و از راه دور سیستم را برای آ‌ن‌ها فراهم می‌کند. باگ مذکور به مهاجمان اجازه می‌دهد تا اسکریپت‌ها را روی سرورهای موردنظر دانلود و اجرا نموده و امکان کنترل کامل و از راه دور سیستم آسیب‌پذیر را برای مهاجمان در سیستم‌های آسیب‌پذیر دارای Log4j 2.0-beta9 تا 2/14/1 فراهم می‌کند. لازم به ذکر است که سوءاستفاده از ضعف امنیتی مذکور نیازی به احراز هویت ندارد و برای اجرای آن نیازی به تخصص فنی سطح بالا نیست.

شرکت آپاچی نسخه Log4j 2.15.0 را برای ترمیم آسیب‌پذیری CVE-2021-44228 منتشر کرده است.

پس از گذشت چند روز از کشف نخستین ضعف امنیتی در کتابخانه Log4j، دومین آسیب‌پذیری موجود در کتابخانه مذکور به شناسه CVE-2021-45046 کشف شد که بر نسخه 2.15.0 که برای ترمیم Log4Shell ارائه شده بود، تأثیر می‌گذاشت.

سومین آسیب‌پذیری که به تازگی کشف شده نیز دارای شناسه CVE-2021-45105 بوده، از نوع “Infinite Recursion” است و بر همه نسخه‌های Log4j از alpha1و-2.0 تا 2.16.0 تأثیر می‌گذارد. برای این ضعف امنیتی، شدت 7.5 از 10 (بر طبق استاندارد CVSS) و درجه اهمیت “بالا” (High) گزارش شده است.

شرکت آپاچی نیز از آنجایی که مهاجمان در حال جستجوی اهداف آسیب‌پذیر هستند، به راهبران امنیتی سازمان‌ها توصیه می‌کند که در اسرع وقت با مراجعه به نشانی زیر توصیه‌نامه مربوطه را مطالعه و کتابخانه مذکور را به آخرین نسخه ارتقاء دهند.

https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

https://logging.apache.org/log4j/2.x/security.html

https://logging.apache.org/log4j/2.x/download.html

خروج از نسخه موبایل